nignx配置证书

Step 1:配置创建证书的配置文件,以及创建证书

# vim /etc/pki/tls/openssl.cnf

45行修改为dir = /etc/pki/CA

clip_image028

clip_image030

根据配置文件的需求创建相关的文件夹和文件

clip_image032

# mkdir certs crl newcerts

# touch index.txt serial

# echo 01 >>serial //初始化文件

创建私钥

# openssl genrsa 1024 >private/cakey.pem

# chmod 600 private/cakey.pem

生成证书文件

clip_image034

Step 2:建立Nginx的安全目录,并生成相关的私钥和证书文件

# mkdir /usr/local/nginx/certs

# cd /usr/local/nginx/certs/

# openssl genrsa 1024 >nginx.key

# chmod 600 nginx.key

因为小编的这台服务器即作为CA又作为web服务器,所以可以证书申请的过程可以直接在本机做

clip_image036

生成证书

clip_image038

Step 3:修改nginx的配置文件,添加用于安全访问的站点

server {

listen 192.168.111.10:443;

server_name www.zzu.com;

ssl on;

ssl_certificate /usr/local/nginx/certs/nginx.cert;

ssl_certificate_key /usr/local/nginx/certs/nginx.key;

ssl_session_timeout 5m;

access_log /var/log/nginx/access.log;

error_log /var/log/nginx/error.log;

ssl_protocols SSLv2 SSLv3 TLSv1;

ssl_ciphers HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

}

Step 4:重启nginx服务,修改客户机的hosts文件并访问

# pkill nginx

# /usr/local/nginx/sbin/nginx &

修改hosts文件

192.168.111.10 www.zzu.com

当首次访问的时候会提示风险

clip_image040

clip_image042

既然没有一个可信任的机构来承认这个证书,那么小编就给一个机构呗,还记得小编最初给这台服务器生成的CA证书吗,web网站的证书就是这个CA发的,如果客户端信任这个CA了,那不就信任web的证书了么,那么就来实现吧,原理是使用证书链,在发送web证书的时候附带将其上级的证书带过去

Step 5:修改web的证书,将CA的证书内容加进去,但是要注意加的顺序,web证书的内容在前,CA证书在后

# cp /etc/pki/CA/cacert.pem /usr/local/nginx/certs

# cd /usr/local/nginx/certs/

# cat cacert.pem >> nginx.cert

重启ngnix服务是必须的

# pkill nginx

# /usr/local/nginx/sbin/nginx &

客户端访问试试

clip_image044

继续

clip_image046

继续

clip_image048

GOON

clip_image050

clip_image052

clip_image054

clip_image056

clip_image058

clip_image060

点击“是”

clip_image062

关闭浏览器重新打开试试

clip_image064

好啦,小编要实现的几项已近完成了,当然这只是一些简单的应用,在后面的博文中小编将会介绍如何搭建”LNMP”,敬请关注哈。。。。。

你可能感兴趣的:(nginx)