如何在linux下使用openssl自签https的ip证书配置nginx

《如何在linux下使用openssl自签https的ip证书配置nginx》首发牧马人博客转发请加此提示

如何在linux下使用openssl自签https的ip证书配置nginx

背景

**<<如何在linux下使用openssl自签https的ip证书配置nginx>>**这篇文章的诞生跟上篇浅谈Cookie跨域获取是同一个背景，因为需要接入单点，由于第三方要求必须使用https协议，甲方又不想出钱，所以只能自己使用openssl自签一个ssl证书。写这篇的根本原因也是作者本人看了不下20篇博客，最终缝缝补补才整理出来一次通过的版本。经由本人测试，在centos7下只要照着敲就没啥问题了。

1.检查服务器是否安装了openssl

centos中默认是安装了openssl的

[root@aiotqrd-nacos ~]# rpm -qa | grep openssl
openssl-1.0.2k-26.el7_9.x86_64
openssl-libs-1.0.2k-26.el7_9.x86_64
xmlsec1-openssl-1.2.20-7.el7_4.x86_64
openssl-devel-1.0.2k-26.el7_9.x86_64
[root@aiotqrd-nacos ~]# openssl
OpenSSL>

2.找到Openssl.cnf文件

openssl version -a

OPENSSLDIR这里面显示的内容就是配置所在位置。

openssl version -a
OpenSSL 1.0.2k-fips  26 Jan 2017
built on: reproducible build, date unspecified
platform: linux-x86_64
options:  bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include  -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches   -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DRC4_ASM -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  rdrand dynamic
[root@aiotqrd-nacos ~]#

3.修改配置文件openssl.cnf

vi  /etc/pki/tls/openssl.cnf

1. 在配置文件中找到v3_req 这个标识把下面的配置复制进去。其中注意alt_names的配置信息，如果没有域名可以把DNS.1删除掉。直接使用ip去签名证书即可

[ v3_req ]

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
IP.1 = 外网ip

IP.2 = 127.0.0.1

DNS.1=*.baidu.com

2. 在配置文件中找到req 这个标识把req_extensions = v3_req这个内容补充在下方即可。

[ req ]
req_extensions = v3_req

4.生成ca Root证书

1. 生成ca.key
openssl genrsa -out ca.key 2048
2. 创建证书请求问题ca.csr 这里是一次性的版本。 如果把-subj "/C=CN/ST=JiangXI/L=JiangXI/O=JD/OU=JD/CN=xx.xx.xx.xx"这些去掉他会提示你一次次的填写配置信息。这里面最关键的是CN，ip就填ip域名就用域名。
openssl req -new -out ca.csr -key ca.key -subj "/C=CN/ST=JiangXI/L=JiangXI/O=JD/OU=JD/CN=xx.xx.xx.xx"  -config /etc/pki/tls/openssl.cnf
3. 生成ca.crt证书
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt -extensions v3_req -extfile /etc/pki/tls/openssl.cnf

4.生成客户端证书

1.创建客户端私钥
openssl genrsa -out server.key 1024
2. 创建证书请求文件CSR
openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=JiangXI/L=JiangXI/O=JD/OU=JD/CN=xx.xx.xx.xx" -config /etc/pki/tls/openssl.cnf -extensions v3_req
3. 用ca.crt来签署server.csr证书
openssl x509 -req -days 3650 -in server.csr -out server.crt -CA ca.crt -CAkey ca.key -CAcreateserial -extfile /etc/pki/tls/openssl.cnf -extensions v3_req   

5.nginx配置证书

server {
    listen 8022 ssl;
    server_tokens off;
    server_name localhost;

    gzip  on;
    gzip_min_length  1k;
    gzip_buffers     4 16k;
    gzip_http_version 1.1;
    gzip_comp_level 9;
    gzip_types       text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php application/javascript application/json;
    gzip_disable "MSIE [1-6]\.";
    gzip_vary on;
    ssl_certificate /usr/local/nginx/ssl/server.crt;
    ssl_certificate_key /usr/local/nginx/ssl/server.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
    client_max_body_size 100m;
    send_timeout 600;
    location / {
        root   /home/app/front/ssoui;
        try_files $uri $uri/ /index.html;
        index  index.html index.htm;
    }
}

6.结束

这种方式生成的证书浏览器访问是会提示不安全的，这是正常现象。本文只演示了生成crt格式，如果你是配置java项目或者别的类型项目可能需要别的格式的证书。使用openssl是可以把crt证书转成想要的格式的。