server {
listen 80;
listen 443 ssl;
server_name ~^((cloud)|(demo-cloud)|(demo2-cloud)|(approval1))((\.it1alent\.link)|(\.ita1lent-inc\.cn))$;
ssl on;
ssl_certificate ./ssl/ssl.crt;
ssl_certificate_key ./ssl/ssl.key;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv2 SSLv3;
ssl_prefer_server_ciphers on;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_session_timeout 5m;

location / {
index index.html index.htm;
proxy_pass http://127.0.0.1:8088;
proxy_http_version 1.1;
proxy_connect_timeout 9990;
proxy_send_timeout 9990;
proxy_read_timeout 9990;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection keep-alive;
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header x-ssl-enabled true;
proxy_set_header X-Nginx-Proxy true;
}
}

这里说下Linux 系统怎么通过openssl命令生成 证书。

首先执行如下命令生成一个key
openssl genrsa -des3 -out ssl.key 1024
然后他会要求你输入这个key文件的密码。不推荐输入。因为以后要给nginx使用。每次reload nginx配置时候都要你验证这个PAM密码的。
由于生成时候必须输入密码。你可以输入后 再删掉。

mv ssl.key xxx.key
openssl rsa -in xxx.key -out ssl.key
rm xxx.key
然后根据这个key文件生成证书请求文件
openssl req -new -key ssl.key -out ssl.csr
以上命令生成时候要填很多东西 一个个看着写吧(可以随便,毕竟这是自己生成的证书)

最后根据这2个文件生成crt证书文件

openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt
这里365是证书有效期 推荐3650哈哈。这个大家随意。最后使用到的文件是key和crt文件。

如果需要用pfx 可以用以下命令生成
openssl pkcs12 -export -inkey ssl.key -in ssl.crt -out ssl.pfx 在需要使用证书的nginx配置文件的server节点里加入以下配置就可以了。

server {
listen 443;
server_name bbs.nau.edu.cn;

if ($uri !~ "/logging.php$") {
rewrite ^/(.
)$ http://$host/$1 redirect;
}
ssl on;
ssl_certificate /home/ssl.crt;
ssl_certificate_key /home/ssl.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;

}
然后重启nginx就大功告成了

Windows下用Nginx配置https服务器

 

以Windows 10系统为例。

一、安装OpenSSL

先到http://slproweb.com/products/Win32OpenSSL.html 去下载OpenSSL(根据系统选择32位或者64位版本下载安装)。

然后安装在C:\OpenSSL-Win64下。

然后配置环境变量。在系统环境变量中添加环境变量:

变量名:OPENSSL_HOME

变量值:C:\OpenSSL-Win64\bin;

(变量值为OPENSSL安装位置下的bin目录)

并在Path变量结尾添加一条: %OPENSSL_HOME%

二、安装Nginx

Nginx官网下载Nginx,我这里下载的是 nginx/Windows-1.12.0 这个版本。

把下载好的压缩包解压出来,拷贝其中的nginx-1.12.0目录到c:\下。并将文件夹名字修改为nginx。这样,Nginx就被安装到了c:\nginx目录下。

进入到C:\nginx目录下,双击nginx.exe文件即可启动服务器。在浏览器地址栏输入http://localhost,如果可以成功访问到Nginx的欢迎界面,则说明安装成功。

三、生成证书  

1、首先在Nginx安装目录中创建ssl文件夹用于存放证书。比如我的文件目录为 C:\nginx\ssl

在控制台中执行:

cd C:\nginx\ssl

2、创建私钥

在命令行中执行命令:

openssl genrsa -des3 -out buduhuisi.key 1024     # buduhuisi文件名是自己随便起即可

输入密码后,再次重复输入确认密码。记住此密码,后面会用到。

3、创建csr证书

在命令行中执行命令:

openssl req -new -key buduhuisi.key -out buduhuisi.csr

其中key文件为刚才生成的文件。

执行上述命令后,需要输入一系列的信息。输入的信息中最重要的为Common Name,这里输入的域名即为我们要使用https访问的域名 ,比如我输入的是localhost。其它的内容随便填即可。

以上步骤完成后,ssl文件夹内出现两个文件:buduhuisi.csr 和 buduhuis.key

4、去除密码。

在加载SSL支持的Nginx并使用上述私钥时除去必须的口令,否则会在启动nginx的时候需要输入密码。

复制buduhuisi.key并重命名为buduhuisi.key.org。

在命令行中执行如下命令以去除口令:

openssl rsa -in buduhuisi.key.org -out buduhuisi.key

然后输入密码,这个密码就是上文中在创建私钥的时候输入的密码。

5、生成crt证书

在命令行中执行此命令:

openssl x509 -req -days 365 -in buduhuisi.csr -signkey buduhuisi.key -out buduhuisi.crt

至此,证书生成完毕。我们发现,ssl文件夹中一共生成了4个文件。下面,配置https服务器的时候,我们需要用到的是其中的buduhuisi.crt和buduhuisi.key这两个文件。

四、修改Nginx的nginx.conf配置文件

我的这个文件在C:\nginx\conf目录下。用任意一个编辑器(如Sublime Text之类)打开这个nginx.conf文件。

找到HTTPS server配置的那一段(即包含有listen 443 ssl配置那一段)。我们发现这段代码被注释掉了。所以,首先我们把该段代码前面的#号去掉。然后分别修改其中的ssl_certificate和ssl_certificate_key配置项为刚才所生成的buduhuisi.crt和buduhuisi.key这两个文件的目录。并配置server_name为localhost。修改后的该段配置如下:

server {
listen 443 ssl;
server_name localhost; ssl_certificate C://nginx//ssl//buduhuisi.crt; # 这个是证书的crt文件所在目录
ssl_certificate_key C://nginx//ssl//buduhuisi.key; # 这个是证书key文件所在目录 ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on; location / {
root html; # 这个是指定一个项目所在目录
index index.html index.htm; # 这个是指定首页的文件名
}
}

注意一下那两个证书的文件路径的写法。

五、Nginx的常用操作

在继续后面的内容之前,先简单介绍下Windows命令行中操作Nginx的几个常用的语句:

start nginx               # 启动Nginx
nginx.exe -s stop # 快速停止Nginx,可能并不保存相关信息
nginx.exe -s quit # 完整有序的停止Nginx,并保存相关信息
nginx.exe -s reload # 重新载入Nginx,当配置信息修改,需要重新载入这些配置时使用此命令。
nginx.exe -s reopen # 重新打开日志文件
nginx -v # 查看Nginx版本

因为修改了配置文件,所以需要退出控制台,并重新打开一个控制台。执行如下命令:

cd c:\nginx
nginx.exe -s quit
start nginx

即退出Nginx,然后再重新启动它。这时候,在浏览器地址栏输入https://localhost并回车。

这时候,你可能看到“您的连接不是私密连接”的提示,单击页面中的“高级”,并接着单击“继续前往m.test.com(不安全)”,就可以看到Nginx的欢迎界面了。说明https服务器已经配置成功了。

如果你只想用https://localhost访问这个https服务器,那么下面的内容你就不用接着往下看了。

但是,也许你可能还想要用一个别的域名(例如:https://m.test.com)来访问这个服务器。那么怎么做呢?这就需要继续往下看了。

六、修改hosts配置,实现域名映射

要想用别的域名来访问上文配置好的https服务器,也很简单,修改hosts配置就可以了。你可以到这里下载一个hosts管理工具——SwitchHosts。安装号好之后,以管理员身份运行它。并添加上一个hosts项:

127.0.0.1  m.test.com

这样,你就可以通过https://m.test.com来访问配置好的https服务器了。

顺便提一下,关于Mac环境下如何映射一个http路径到一个https路径,可以通过Charles工具来实现。参见这里

使用OpenSSL为Nginx配置HTTPS证书

作者:admin    时间:2017-4-5 12:3:17    浏览:3555

 

OpenSSL官方推荐win32可执行文件版下载:

一、证书制作

1、制作CA证书:

ca.key CA私钥:

  • openssl genrsa -des3 -out ca.key 2048

制作解密后的CA私钥(一般无此必要):

  • openssl rsa -in ca.key -out ca_decrypted.key

ca.crt CA根证书(公钥):

  • openssl req -new -x509 -days 7305 -key ca.key -out ca.crt

2、制作生成网站的证书并用CA签名认证

在这里,假设网站域名为www.webkaka.com

生成www.webkaka.com证书私钥:

  • openssl genrsa -des3 -out www.webkaka.com.pem 1024

制作解密后的www.webkaka.com证书私钥:

  • openssl rsa -in www.webkaka.com.pem -out www.webkaka.com.key

生成签名请求:

  • openssl req -new -key www.webkaka.com.pem -out www.webkaka.com.csr

在common name中填入网站域名,如www.webkaka.com即可生成改站点的证书,同时也可以使用泛域名如*.webkaka.com来生成所有二级域名可用的网站证书。

用CA进行签名:

  • openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in www.webkaka.com.csr -out www.webkaka.com.crt

其中,policy参数允许签名的CA和网站证书可以有不同的国家、地名等信息,days参数则是签名时限。

如果在执行签名命令时,出现“I am unable to access the ../../CA/newcerts directory”

修改 /etc/pki/tls/openssl.cnf 中“dir = ./CA”

然后:

  • mkdir -p CA/newcerts
  • touch CA/index.txt
  • touch CA/serial
  • echo "01" > CA/serial

再重新执行签名命令。

最后,把ca.crt的内容粘贴到www.webkaka.com.crt后面。这个比较重要!因为不这样做,可能会有某些浏览器不支持。

好了,现在https需要到的网站私钥www.webkaka.com.key和网站证书www.webkaka.com.crt都准备完毕。接下来开始配置服务端。

二、配置Nginx服务器

新开一个虚拟主机,并在server{}段中设置:

  • listen 443;
  • ssl on;
  • ssl_certificate /path/to/www.webkaka.com.crt;
  • ssl_certificate_key /path/to/www.webkaka.com.key;

其中的路径是刚刚生成的网站证书的路径。

然后使用一下命令检测配置和重新加载nginx:

检测配置:

  • nginx -t

重新加载:

  • nginx -s reload

三、优化nginx配置

1、优化nginx性能

在http{}中加入:

  • ssl_session_cache shared:SSL:10m;
  • ssl_session_timeout 10m;

据官方文档所述,cache中的1m可以存放4000个session。

在配置https的虚拟主机server{}中加入:

  • keepalive_timeout 70;

2、有时在phpMyAdmin等程序登入后会错误地跳转http的问题。

解决方法是定位至 “location ~ .*\.(php|php5)?${}” 在include fcgi.conf;或者在fastcgi_param配置后面加上:

  • fastcgi_param HTTPS on;
  • fastcgi_param HTTP_SCHEME https;

在这里是nginx官方的关于https的文档:

参考:

https://www.cnblogs.com/weifeng1463/p/7943633.html

http://www.webkaka.com/tutorial/server/2017/040516/

https://www.cnblogs.com/chasewade/p/7661290.html

openssl 自己制作ssl证书:自己签发免费ssl证书,为nginx生成自签名ssl证书的更多相关文章

  1. 自己制作ssl证书:自己签发免费ssl证书,为nginx生成自签名ssl证书

    这里说下Linux 系统怎么通过openssl命令生成 证书. 首先执行如下命令生成一个key openssl genrsa -des3 -out ssl.key 1024 然后他会要求你输入这个ke ...

  2. linux系统自签发免费ssl证书,为nginx生成自签名ssl证书

    首先执行如下命令生成一个key openssl genrsa -des3 -out ssl.key 1024 然后他会要求你输入这个key文件的密码.不推荐输入.因为以后要给nginx使用.每次rel ...

  3. Linux中快捷生成自签名ssl证书_113资讯网

    一.生成CA私钥 mkdir ca cd ca #创建私钥 (建议设置密码) openssl genrsa -des3 -out myCA.key 2048 生成CA证书 # 20 年有效期 open ...

  4. Nginx基础知识————生成自签名ca 证书 使nginx 支持https

    创建服务器私钥,命令会让你输入一个口令: $ openssl genrsa -des3 -out server.key 1024 创建签名请求的证书(CSR): $ openssl req -new ...

  5. 生成自签名ca 证书 使nginx 支持https

    创建服务器私钥,命令会让你输入一个口令:$ openssl genrsa -des3 -out server.key 1024创建签名请求的证书(CSR):$ openssl req -new -ke ...

  6. C# 生成自签名CA证书

    "; string signatureAlgorithm = "SHA1WithRSA"; // Generate RSA key pair var rsaGenerat ...

  7. 给nginx生成自签名证书

    https://blog.csdn.net/qq_26819733/article/details/53431662 https://www.liaoxuefeng.com/article/00141 ...

  8. 自己签发免费ssl证书

    自己制作ssl证书:自己签发免费ssl证书,为nginx生成自签名ssl证书 这里说下Linux 系统怎么通过openssl命令生成 证书. 首先执行如下命令生成一个keyopenssl genrsa ...

  9. 使用OpenSSL工具制作X.509证书的方法及其注意事项总结

    版权声明:本文为博主原创文章.转载请注明出处. https://blog.csdn.net/Ping_Fani07/article/details/21622545 怎样使用OpenSSL工具生成根证 ...

随机推荐

  1. idea搭建一个简单的springboot项目

    1.file->new->project 2.选中Spring  Initializr 3.填写项目信息: 4.选中Web -> Spring Web

  2. NumPy 之 存储文件和线性代数

    import numpy as np File Input and Output NumPy is able to save and load data to and from disk either ...

  3. ajax加载验证码这样不断刷新的文件无法刷新问题

    看了很多网站,在前端不设置缓存,这样会把需要缓存的数据漏掉 觉得欺骗浏览器的方式很不错,方式如下 为了在所有浏览器上都能实现点击验证码的刷新功能,我们可以在上述代码中添加随机参数,对浏览器进行欺骗. ...

  4. 记使用pyspider时,任务不执行的问题原因:save太大。

    pyspider使用save传递大量文本时,如果是mysql数据库,有可能出现问题,因为任务表默认用的blob字段.字符数是有限制的. 解决办法就是手动把字段类型改成longblob. 希望作者能直接 ...

  5. Gzip模块

    Gzip模块为python的压缩和解压缩模块,读写gzip 文件 一.使用gzip模块压缩文件: 1 import gzip #导入python gzip模块,注意名字为全小写 2 g = gzip. ...

  6. php享元模式(flyweight pattern)

    周日一大早,今天要送老婆孩子去火车站, 所以练代码要早点哈. <?php /* The flyweight pattern is about performance and resource r ...

  7. DateFormat与SimpleDateFormat区别和使用详解

    DateFormat类 此类是一个日期的格式化类,用来格式化日期.具体日期可以通过java.util.Date类来获取. DateFormat类的定义:此类是定义在java.test包中的. publ ...

  8. springboot之DevTools热部署的简单原理解析

    IDEA新建springboot选择DevTools springboot-devtools模块能够实现热部署,添加类.添加方法,修改配置文件,修改页面等,都能实现热部署. 原理就是重启项目,但比手动 ...

  9. python应用-猜数字游戏

    import random def main(): answer = random.randint(1, 100) counter = 0 while True: counter += 1 numbe ...

  10. 使用 application.properties 中配置的属性,举例:@Value("${server.port}")

    使用 application.properties 中配置的属性:@Value 注解. @RestController public class HelloWorldController { @Val ...