系统版本:centos7x3.10.0-514.el7.x86_64
Nginx版本:nginx1.14.0
关闭防火墙并禁止开机自启
systemctl stop firewalld.service
systemctl disable firewalld
关闭selinux
sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/g‘ /etc/sysconfig/selinux
修改主机名
vi /etc/hostname
nginx.wangfeiyu.com
域名绑定IP
vi /etc/hosts
重启 reboot
/usr/local/nginx/sbin/nginx -V
注:查看 configure arguments 信息中是否包含 -with-http_ssl_module 字样,如果没有则需要重新编译。找到之前安装 Nginx 时的编译目录,配置ssl模块,因为这次是升级nginx,所以不需要执行 make install,执行命令如下:
. /configure --with-http_ssl_module
make
vi /etc/pki/tls/openssl.cnf
注:以上截图默认就是这样的重要参数配置路径,如果你要配置修改路径,那么切记在后边签证书等等的操作都要按照这个配置路径去创建,不然当认证的时候会找不到证书!
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial
注:必须是两位十六进制数,99之后是9A!
cd /etc/pki/CA
umask 066
openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048
注:进入到/etc/pki/CA/目录下执行这两条命令!
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
注释:
-new: 生成新证书签署请求
-x509: 专用于 CA 生成自签证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out: 证书的保存路径
提示输入国家,省,市,公司名称,部门名称,CA主机名(颁发者名称)
//linux系统下查看
openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
//windows系统下查看
需要更改上述文件名后缀为.cer即可查看
mkdir key
cd key/
umask 066
openssl genrsa -out key/service.key 2048
openssl req -new -key service.key -out service.csr
注:同样提示输入国家、省、市、公司等信息。切记:国家,省,公司名称三项必须和CA一致。主机名称必须和网站域名相同,如www.centos73.com。或者使用泛域名,即*.centos73.com,匹配所有。
mv service.csr /etc/pki/CA/crl/
openssl ca -in /etc/pki/CA/crl/service.csr -out /etc/pki/CA/certs/service.crt -days 365
错误1:
wrong number of fields on line 1 (looking for field 6, got 1, ‘‘ left)
原因是你的index.txt文件不为空,改为空文件即可。
错误2:
error while loading serial number
3078239980:error:0D066096:asn1 encoding routines:a2i_ASN1_INTEGER:short line:f_int.c:215:
原因:是因为serial文件中没有赋初值,即没有执行echo 01 > /etc/pki/CA/serial
//查看自签证书
openssl x509 -in 绝对路径 -noout –text | issuer | subject | serial | dates
//查看颁发证书的序列号
cat /etc/pki/CA/serial
//查看指定编号的证书状态
openssl ca -status 1
注:这个编号是颁发的第几个证书,当前就一个所以是1!
//查看证书详细信息
cat /etc/pki/CA/index.txt
注:开头V表示当前证书的状态正常!
//查看subjects信息
注:yes表示subjects信息必须是唯一的,不能重复申请!
vi /usr/local/nginx/conf/nginx.conf
注:这里有一个坑就是默认的HTTPS SERVER这行必须删除,要不然一直报错!
/etc/init.d/nginx restart
注:以上截图访问方式使用的是https加密访问但是需要我们将证书导入浏览器才行!
//点击高级
//点击添加列外
//点击确认安全列外
注:以上截图已经可以访问到网页,说明nginx加密成功或者证书导入成功!其他的浏览器导入证书方式不一样,但是超级简单,自行百度即可!
注:这种方式默认使用的还是http协议!也可以设置为通过http跳转到https!
注:以上截图访问方式使用的是https加密访问但是需要我们将证书导入浏览器才行!导入方式以上面方式相同。
原文:https://www.cnblogs.com/2567xl/p/11529672.html