自制证书实现网站https访问

制作过程

1,自制CA私钥
openssl genrsa -des3 -out ca.key 4096
2,自制CA证书
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

3,自制Server私钥,生成免密码版本
openssl genrsa -des3 -out server.key 4096
openssl rsa -in server.key -out server.nosecret.key
4,制作csr文件
openssl req -new -key server.key -out server.csr
5,用CA证书私钥对csr签名(CA不能用X509,这点需要注意)生成Server证书
openssl ca -days 3650 -in server.csr -cert ca.crt -keyfile ca.key -out server.crt

制作完成得到六个文件
自制证书实现网站https访问_第1张图片
需要注意的几个问题
1,在linux下面执行上面六条命令,按提示输入基本就可以了
2,提示输入密码时,统一一个简单密码就可以了,防止弄混了
3,提示输入其它信息时,全部用同一串字符就可以了,防止混乱,例如:gd
4,有两处输入域名的地方【Common Name 】一定要输入正确的网站域名,例如www.gd.cn,否则部署后浏览器会提示域名不一致,
5,最后检查六个文件都生成了,而且都有内容,如果出现0字节的文件说明没成功

如果出现类似报错: /etc/pki/CA/index.txt: No such file or directory
执行下面的语句就可以了
touch /etc/pki/CA/index.txt
touch /etc/pki/CA/serial
Echo “01” > /etc/pki/CA/serial

服务端Nginx配置

把 server.crt 和 server.nosecret.key 拷贝到 nginx\conf\ssl 目录下面

	server {
		listen 443;
		server_name 192.168.4.30;
		
		ssl on;
		ssl_certificate ssl/server.crt;
		ssl_certificate_key ssl/server.nosecret.key;

		location / {
			root   html;
			index  index.html index.htm;
		}
	}

客户端安装
双击ca.crt进行安装,安装到受信任的机构里面

重启浏览器访问https

因为客户端必须按照证书,自制的证书适合企业客户,面向消费者的就去Let’s Encrypt申请一个吧

你可能感兴趣的:(自制证书实现网站https访问)