nginx配置https双向加密以及php使用curl访问加密链接

1.自建CA，签署证书

    #openssl配置文件路径

    vim/etc/pki/tls/openssl.cnf

    #下面只列出配置文件中和自建CA有关的几个关键指令

    dir=/etc/pki/CA#CA的工作目录

    database=$dir/index.txt#签署证书的数据记录文件

    new_certs_dir=$dir/newcerts#存放新签署证书的目录

    serial=$dir/serial#新证书签署号记录文件

    certificate=$dir/ca.crt#CA的证书路径  (主要修改这里)

    private_key=$dir/private/cakey.pem#CA的私钥路径

2.openssl制作CA的自签名证书

    #切换到CA目录

        cd /etc/pki/CA

    #制作CA私钥

        openssl genrsa -out private/cakey.pem 2048

    #制作自签名证书

        openssl req -new -x509 -key private/cakey.pem -outca.crt

    #生成数据记录文件，生成签署号记录文件，给文件一个初始号。

        touch index.txt   //生成数据库记录文件

        touchserial       

        echo'01'>serial

3.生成服务器端证书

        #制作服务器端私钥

            openssl genrsa -out server.key 1024

        #制作服务器端证书申请指定使用sha512算法签名（默认使用sha1算法）

            openssl req -new -key server.key -sha512 -out server.csr

        #签署证书

            openssl ca -in server.csr -out server.crt -days 3650 

4.生成客户端证书

        #制作客户端私钥

            openssl genrsa -out client.key 1024

        #制作客户端证书申请

            openssl req -new -key client.key -out client.csr

        #签署证书

            openssl ca -in client.csr -out client.crt -days 3650

注意事项:

    1、制作证书时会提示输入密码，设置密码可选，服务器证书和客户端证书密码可以不相同。

    2、服务器证书和客户端证书制作时提示输入省份、城市、域名信息等，需保持一致。

    3、以下信息根证书需要和客户端证书匹配，否则可能出现签署问题

    4、客户端和服务端证书输入的信息一模一样在签署证书会报  (failed to update database TXT_DB error number 2)错误 

           解决方式: /etc/pki/CA/index.txt 是不允许生成两条相同的数据, /C=CN/ST=GuangDong/O=default 修改 /C=CN/ST=GuangDong/O=aaa

            (不一定这样修改,随便修改一下字母也ok)  

5.Nginx配置文件

        #ssl 443端口配置添加

                ssl on;

                ssl_certificate  你的证书路径/server.crt;

                ssl_certificate_key  你的证书路径/server.key;

                ssl_client_certificate  /etc/pki/CA/ca.crt;

6.客户端证书格式转换

        openssl pkcs12 -export -inkey client.key -in client.crt -out client.p12 

        #window安装证书 双击打开下一步即可

7.使用php curl 访问

    1. openssl pkcs12 -in client.p12 -clcerts -nokeys -out public-cert.pem

    2. openssl pkcs12 -in client.p12 -nocerts -out private-key.pem

    3. # curl_setopt($ch,CURLOPT_SSLCERTTYPE,'PEM');

        # curl_setopt($ch,CURLOPT_SSLCERT,'你的路径/public-cert.pem');

        # curl_setopt($ch,CURLOPT_SSLCERTPASSWD,'你的密码');

         # curl_setopt($ch,CURLOPT_SSLKEYTYPE,'PEM');

          # curl_setopt($ch,CURLOPT_SSLKEY,'你的路径/private-key.pem');