使用 OpenSSL 生成 HTTPS 证书
这里填写标题
- 1. 使用 OpenSSL 生成 HTTPS 证书
- 1. 生成 HTTPS 证书思路
-
- 1.1 编辑根证书配置文件 `ca.cnf`
- 1.2 编辑网站证书配置文件 `ia.cnf`
- 2. 使用 OpenSSL 生成 CA 证书
- 3. 利用 ca 根证书授权子证书
- 4. Nginx 配置 HTTPS 访问
- 5. Windows XP 下的测试
1. 使用 OpenSSL 生成 HTTPS 证书
以下是在 Linux 上生成, Windows 上可以使用软件 xca, 下载地址: http://xca.hohnstaedt.de/
1. 生成 HTTPS 证书思路
我们首先要生成证书颁发机构的根证书, 然后再用此证书去签发网站证书.
由于生成过程中需要输入非常多的参数, 像网站域名等, 而且不能输错, 输错不能用删除号回退, 因此我们在这里使用官方的配置文件.
由于我们需要生成 2 次, 第 1 次是生成根证书, 第 2 次是利用生成的根证书生成网站证书, 因此我们需要复制 2 份配置文件:
$ cp /usr/lib/ssl/openssl.cnf ca.cnf ia.cnf
找不到 openssl.cnf 的话, 可以使用 find 命令查找: $ find / -name openssl.cnf
1.1 编辑根证书配置文件 ca.cnf
默认情况下, 有些没有
_default的需要自己加上.
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Shanghai
localityName = Locality Name (eg, city)
localityName_default = Shanghai
0.organizationName = Organization Name (eg, company)
0.organizationName_default = Lenovo
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = Technology
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = lenovo.com.cn
emailAddress = Email Address
emailAddress_default = [email protected]
1.2 编辑网站证书配置文件 ia.cnf
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Shanghai
localityName = Locality Name (eg, city)
localityName_default = Shanghai
0.organizationName = Organization Name (eg, company)
0.organizationName_default = Lenovo
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = Technology
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = report.lenovo.com.cn
emailAddress = Email Address
emailAddress_default = [email protected]
备注:
ca.cnf和ia.cnf中的commonName_default不能一样, 否则 Windows 下不能安装证书, 即会授权失败. 我们这里根证书里面的是lenovo.com.cn, 网站证书是report.lenovo.com.cn, 两个是不一样的域名.
2. 使用 OpenSSL 生成 CA 证书
CA, Certificate Authority, 即 电子商务认证授权机构.
生成 ca 的 key:
$ openssl genrsa -out ca.key 4096
生成 ca 的根证书:
$ openssl req -new -x509 -days 1826 -key ca.key -out ca.crt -config ca.cnf
3. 利用 ca 根证书授权子证书
生成子证书的 key
$ openssl genrsa -out ia.key 4096
根据 key 生成 csr
$ openssl req -new -key ia.key -out ia.csr
生成授权子证书
$ openssl x509 -req -days 730 -in ia.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out ia.crt -config ca.cnf
期间会提示输入密码, 留空即可.
生成 PKCS12 证书
$ openssl pkcs12 -export -out ia.p12 -inkey ia.key -in ia.crt -chain -CAfile ca.crt
生成后, 我们需要的文件有:
- ca.crt: CA 根证书, 这个证书我们需要在 Windows 安装
- ca.key: CA 根证书的 key 文件, 不需要
- ia.crt: 网站证书, 用于 Nginx 配置
- ia.key: 网站证书的 key 文件, 用于 Nginx 配置
4. Nginx 配置 HTTPS 访问
首先在 default 配置文件中添加如下:
server {
listen 443 default_server;
listen [::]:443 default_server;
server_name report.lenovo.com.cn;
ssl on;
ssl_certificate /home/ubuntu/openssl/ia.crt;
ssl_certificate_key /home/ubuntu/openssl/ia.key;
root /var/www/report.lenovo.com.cn;
index index.html;
location / {
try_files $uri $uri/ =404;
}
}
Nginx 命令:
$ nginx -t # 测试 nginx 配置是否正确
$ nginx -s reload # 重启 nginx
5. Windows XP 下的测试
首先需要安装 CA 证书, 双击 ca.crt 再点击里面的 安装证书, 证书分类选择 受信任的根证书颁发机构.
安装证书成功后, 我们可以发现双击打开 ca.crt 和 ia.crt 提示证书都是安全的(绿色), 没有红色的 X 号和感叹号之类的.
发给其它机器安装时只需要发送
ca.crt就可以了.
IE 浏览器太差了, 我们使用 Chrome 来测试, 我们选择 Chrome 最后支持 XP 的版本: Chrome 49.0.2623.75
经测试, 高版本的 Chrome 即使安装了
ca.crt证书也会报 HTTPS 证书错误(Common Name错误), 所以为了测试顺利还是用这个版本吧.
然后打开 Chrome 访问 https://report.lenovo.com.cn/, 会看到网址前面加上了绿绿的安全符号, 成功了!
如果想删除已经安装的证书, 可以在运行中输入 certmgr.msc 来管理已经安装的证书.