# nginx與https聯動-自簽發證書 [TOC] ## 一、 簡述 [官方鏈接](http://nginx.org/en/docs/http/ngx_http_ssl_module.html) **證書說明** 網絡安全性最首先要解決的就是身份驗證問題；而解決身份驗證問題，最主要的方式就是借助私鑰和公鑰,而最主要的公鑰信息獲取就變得尤為重要:利用第三方公正者，公正公鑰信息 目前標準的證書存儲格式是x509，還有其他的證書格式，需要包含的內容為： * 公鑰信息，以及證書過期時間 * 證書的合法擁有人信息 * 證書該如何被使用（不用關注） * CA頒發機構信息 * CA簽名的校驗碼 **所需軟件和模塊** * 需要服務器已安裝`openssl`和`openssl-devel`軟件 * 需要nginx安裝了`--with-http_ssl_module`模塊 ## 二、 創建自簽發證書 ### 1.創建私鑰文件 1)方法1 ```sh cd /etc/nginx/conf.d/ openssl genrsa 2048 >server.key chmod 600 server.key ``` 創建私鑰信息，并指定私鑰的長度為2048，并將生成的私鑰信息保存在一個文件中 2)方法2 ```sh cd /etc/nginx/conf.d/ openssl genrsa -out server.key 2048 chmod 600 server.key ``` 將私鑰信息直接進行保存，加密長度一定要放在輸出文件后面 3)方法3 ```sh cd /etc/nginx/conf.d/ (umask 077;openssl genrsa -out server1024.key 1024) ``` 利用小括號，實現子shell功能，臨時修改umask，使之創建的私鑰文件權限為600 ### 2.生成證書文件信息 1)生成自簽發證書[測試用] ``` openssl req -new -x509 -key server.key -out server.crt -days 365 req <- 用于請求創建一個證書文件 new <- 表示創建的是新的證書 x509 <- 表示定義證書的格式為標準格式 key <- 表示調用的私鑰文件信息 out <- 表示輸出證書文件信息 days <- 表示證書的有效期 ```  2)申請真的CA證書[正式用] 向CA機構申請在正式環境中用的證書分兩步 1. 生成證書請求文件 ```sh openssl req -new -key httpd.key -out httpd.csr ``` 2. 申請CA證書 拿此csr文件與公司資質文件,向ca機構進行申請,申請成功會得到一個正式證書 ## 三、配置網站服務，加載私鑰和證書信息 nginx此部分配置 ```sh server { listen 80; server_name www.etiantian.org; rewrite ^(.*)$ https://$host$1 permanent; } server { listen 443; server_name www.etiantian.org; ssl on; ssl_certificate /etc/nginx/conf.d/server.crt; ssl_certificate_key /etc/nginx/conf.d/server.key; root html/www; index index.html index.htm; } ``` 使用瀏覽器訪問[略]