咻咻ing 2020-01-28
(1)设置server.key,这里需要设置两遍密码:
openssl genrsa -des3 -out server.key 1024
(2)参数设置,首先这里需要输入之前设置的密码:
openssl req -new -key server.key -out server.csr
然后需要输入如下的信息
Country Name (2 letter code) [AU]: 国家名称 State or Province Name (full name) [Some-State]: 省 Locality Name (eg, city) []: 城市 Organization Name (eg, company) [Internet Widgits Pty Ltd]: 公司名 Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: 网站域名 Email Address []: 邮箱 Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: 这里要求输入密码 An optional company name []:
(3)写RSA秘钥(这里也要求输入之前设置的密码):
openssl rsa -in server.key -out server_nopwd.key
(4)获取证书
openssl x509 -req -days 365 -in server.csr -signkey server_nopwd.key -out server.crt
(5)完成这一步之后就得到了我们需要的证书文件和RSA私钥了
把前面一步生成的文件拷贝出来,然后修改nginx配置文件,添加ssl支持。
在nginx配置文件新增server节点以便用于支持https的443端口。
server { listen 443 ssl; server_name 127.0.0.1; #域名 ssl on; #如果强制HTTPs访问,这行要打开 ssl_certificate /ssl/server.crt; #分别将路径指向证书文件和密匙文件 ssl_certificate_key /ssl/server_nopwd.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; # 指定密码为openssl支持的格式 ssl_protocols SSLv2 SSLv3 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; # 密码加密方式 ssl_prefer_server_ciphers on; # 依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码 # 定义首页索引目录和名称 location / { root /usr/share/nginx/html; index index.html index.htm; } #重定向错误页面到 /50x.html error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } }
自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。