Centos7用openssl生成ca证书完整流程

Centos7 环境下生成自签名 SSL 证书的具体过程:

  1. 修改 openssl 配置文件
vi /etc/pki/tls/openssl.cnf
# match 表示后续生成的子证书的对应项必须和创建根证书时填的值一样,否则报错。以下配置只规定子证书的 countryName 必须和根证书一致。
[ policy_match ] 段配置改成如下:
countryName             = match
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional
  1. 在服务器 pki 的 CA 目录下新建两个文件
cd /etc/pki/CA && touch index.txt serial && echo 01 > serial
  1. 生成 CA 根证书密钥
cd /etc/pki/CA/ && openssl genrsa -out private/cakey.pem 2048 && chmod 400 private/cakey.pem
  1. 生成根证书(根据提示输入信息,除了 Country Name 选项需要记住的,后面的随便填)
openssl req -new -x509 -key private/cakey.pem -out cacert.pem

         生成根证书后就是生成服务端证书

  1. 生成密钥文件
openssl genrsa -out nginx.key 2048
  1. 生成证书请求文件(CSR):
    A. 根据提示输入信息,除了 Country Name 与前面根证书一致外,其他随便填写
    B. Common Name 填写要保护的域名,比如:*.qhh.me
openssl req -new -key nginx.key -out nginx.csr
  1. 使用 openssl 签署 CSR 请求,生成证书
openssl ca -in nginx.csr -cert /etc/pki/CA/cacert.pem -keyfile /etc/pki/CA/private/cakey.pem -days 365 -out nginx.crt

参数项说明:
-in: CSR 请求文件
-cert: 用于签发的根 CA 证书
-keyfile: 根 CA 的私钥文件
-days: 生成的证书的有效天数
-out: 生成证书的文件名

至此自签名证书生成完成,最终需要:nginx.key 和 nginx.crt

配置 Nginx 使用自签名证书

server {
        listen  80;
        server_name     domain;
        return  301     https://$host$request_uri;
}
server {
        listen  443 ssl;
        ssl_certificate       ssl/nginx.crt; # 前面生成的 crt 证书文件
        ssl_certificate_key   ssl/nginx.key; # 前面生成的证书私钥
        server_name     domain;
        location / {
            root /var/www-html;
            index  index.html;
        }
}

配置完成后重启nginx服务

service nginx restart

然后打开443端口

firewall-cmd --zone=public --add-port=443/tcp --permanent

最后重新加载防火墙

firewall-cmd --reload

至此即可访问https://domain

  • 另:
    浏览器出现不安全问题

图片[1]-Centos7用openssl生成ca证书完整流程-百分数

  • 参考1:

OpenSSL创建的自签名证书在chrome端无法信任

  • 参考2:

申请 Let’s Encrypt 通配符 HTTPS 证书

注:上面的参考我也没试过

© 版权声明
THE END
喜欢就支持一下吧
点赞1
分享
评论 抢沙发