生成自簽名SSL證書(shū)
生成RSA密鑰(過(guò)程需要設(shè)置一個(gè)密碼,記住這個(gè)密碼)
$ openssl genrsa -des3 -out domain.key 1024
拷貝一個(gè)不需要輸入密碼的密鑰文件
$ openssl rsa -in domain.key -out domain_nopass.key
生成一個(gè)證書(shū)請(qǐng)求
$ openssl req -new -key domain.key -out domain.csr
這里會(huì)提示輸入國(guó)家,地區(qū)組織,email等信息.最重要的一個(gè)是"common name",需要與網(wǎng)站域名相同.
Enter pass phrase for domain.key: # 之前設(shè)置的密碼 ----- Country Name (2 letter code) [XX]:CN # 國(guó)家 State or Province Name (full name) []:Jilin # 地區(qū)或省份 Locality Name (eg, city) [Default City]:Changchun # 地區(qū)局部名 Organization Name (eg, company) [Default Company Ltd]:Python # 機(jī)構(gòu)名稱 Organizational Unit Name (eg, section) []:Python # 組織單位名稱 Common Name (eg, your name or your server's hostname) []:domain.com # 網(wǎng)站域名 Email Address []:123@domain.com # 郵箱 A challenge password []: # 私鑰保護(hù)密碼,可直接回車(chē) An optional company name []: # 一個(gè)可選公司名稱,可直接回車(chē)
輸入完這些就會(huì)生成一個(gè)domain.csr文件,提交給ssl提供商的時(shí)候就是這個(gè)csr文件.當(dāng)然這里并沒(méi)有向任何證書(shū)提供商申請(qǐng),而是自己簽發(fā)證書(shū).
使用上面的密鑰和CSR對(duì)證書(shū)簽名
$ openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt
Nginx下ssl配置方法
檢測(cè)nginx是否支持SSL:
$ nginx -V
如果有顯示-with-http_ssl_module表示已編譯openssl,支持安裝ssl.
如果沒(méi)有,請(qǐng)重新編譯安裝nginx
$ ./ configure --with-http_ssl_module --with-http_stub_status_module $ make & make install
配置文件:
server {
listen 80;
listen 443 ssl; # 監(jiān)聽(tīng)443端口, 開(kāi)啟ssl(必須)
server_name domain.com;
# ssl on; # 不建議使用! 該指令與listen中ssl參數(shù)功能相同.
# 引用ssl證書(shū)(必須,如果放在nginx/conf/ssl下可以用相對(duì)路徑,其他位置必須用絕對(duì)路徑)
ssl_certificate /home/user/domain.com/conf/ssl/domain.crt;
ssl_certificate_key /home/user/domain.com/conf/ssl/domain_nopass.key;
# 協(xié)議優(yōu)化(可選,優(yōu)化https協(xié)議,增強(qiáng)安全性)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# 自動(dòng)跳轉(zhuǎn)到HTTPS
if ($server_port = 80) {
rewrite ^(.*)$ https://$host$1 permanent;
}
# 其他配置信息...
}
配置完成后檢查niginx配置文件是否可用:
$ nginx -t # 檢查nginx配置文件
successful后重新加載配置文件使配置生效:
$ nginx -s reload
注:記得開(kāi)啟防火墻的443端口 firewall-cmd --zone=public --add_port=443/tcp permanent
注:我使用的nginx+uwsgi部署,這種情況還需要重啟下uwsgi,否則無(wú)法訪問(wèn) uwsgi --reload ./tmp/uwsgi.pid
