本文的内容
显示
1.
步骤1:生成CA证书
2.
步骤2:生成服务器证书。
3.
步骤3:将服务器证书部署到服务器。
3.1.
推荐阅读
可以自建域名SSL证书吗?SSL证书可以自己做吗?答案肯定是肯定的,但是我做的SSL证书不被浏览器信任,主要用于本地测试和学习。证书颁发机构(CA组织)颁发的SSL证书,只有在CA组织通过了国际webtrust认证和电子发行法的情况下,才能被浏览器信任。但是自建的SSL证书往往是https,但是浏览器还是显示连接不安全。如果你觉得各种云服务商平台上的免费ssl证书不香,想自己做一个SSL证书,这里老刘博客准备了以下教程,使用OpenSSL自签名SSL证书对网站进行https,让IE和Firefox浏览器正常安全访问。
这里不探讨域名SSL证书的实现原理。我们的任务是充当CA组织,然后检查服务器要使用的证书。本教程在windows中实现。实验前,确保你的电脑里有openssl程序。如果没有,老刘的博客为你准备了一个:http://download.okcoder.cn/openssl_create.zip.
UCloud免费SSL证书
步骤1:生成CA证书
1.创建私钥
OpenSSL gen RSA-out ca/ca-key . PEM 1024
2.创建证书申请
OpenSSL req-new-out ca/ca-req . CSR-key ca/ca-key . PEM
3.自签名证书,有效期10年(现在正式的SSL证书有效期13个月)。
OpenSSL x509-req-in ca/ca-req . CSR-out ca/ca-cert . PEM-sign key ca/ca-key . PEM-days 3650
4.将证书导出为浏览器支持的. p12格式(此步骤不需要,可以省略)。
OpenSSL pkcs12-export-clcerts-in ca/ca-cert . PEM-in key ca/ca-key . PEM-out ca/ca . p12
创建后,将此根证书导入浏览器(受信任的根证书颁发机构):
IE:双击步骤4中生成的p12证书文件。
Firefox:选项-隐私和安全-证书-查看证书-将ca-cert.pem导入证书颁发机构。
Chrome:菜单设置-左上角设置-高级-隐私设置和安全-证书管理-可信根认证机构-导入ca-cert.pem证书文件。
步骤2:生成服务器证书。
1.创建私钥
OpenSSL gen RSA-out server/server-key . PEM 1024
2.创建证书申请
OpenSSL req-new-out server/server-req . CSR-key server/server-key . PEM
(这一步,常用名需要填写自己的域名。)
3.用您自己的CA证书签署服务器证书。
OpenSSL x509-req-in server/server-req . CSR-out server/server-cert . PEM-sign key server/server-key . PEM-CA CA/CA-cert . PEM-CAkey CA/CA-key . PEM-cacreate serial-days 3650
4.将证书导出为浏览器支持的. p12格式(此步骤不需要,可以省略)。
OpenSSL pkcs12-export-CLC ERTs-in server/server-cert . PEM-in key server/server-key . PEM-out server/server . p12
创建服务器证书后,用Ca证书合成一个完整的证书链:
cat server-cert . PEM ca-cert . PEM full . PEM
步骤3:将服务器证书部署到服务器。
服务器{
SSL _ certificate/path/to/full . PEM;
SSL _ certificate _ key/path/to/server-key . PEM;
ssl _ prefer _ server _ ciphers on
ssl_ciphers高:阿努尔:MD5
位置~。*\\.(php|php5)?$
{
fastcgi _ pass 127 . 0 . 0 . 1:9000;
fastcgi _ index index.php;
包括fastcgi.conf
}
位置~。*\\.(gif|jpg|jpeg|png|bmp|swf)$
{
过期30d
}
位置~。*\\.(js|css)?$
{
过期1h;
}
}
此时,可以使用OpenSSL自签名域名SSL证书。
实验结果:IE和Firefox可以正常访问,但是Chrome一直无法识别自签名证书(net:err _ cert _ authority _ invalid)。如果有实验成功的朋友请留言。如果觉得太麻烦,可以直接在UCloud云平台上免费申请一个域名SSL证书。教程见《网站启用https:UCloud优刻得免费SSL证书申请与部署流程》。
西部数码代理(chenqinet.cn)是工信部、ICANN、CNNIC认证的全球顶级域名注册服务机构,中国五星级域名注册商!超过2000万个域名通过西部数码代理注册和管理,超过100万个网站托管在西部数码代理云服务器和虚拟主机。西部数码代理支持数十个顶级域名的注册和管理,支持批量查询、批量注册、批量分析、智能分析、批量迁移等便捷易用的功能,使用体验非常好。
目前西部数码代理域名注册在售,最低只要1元!
更多详情,请见http://zhuji.chenqinet.cn/services/domain/.
西部数码代理域名抢占预订,支持各类高价值老域名抢占,支持“网站历史、百度收录、百度权重、历史外链、百度评价、搜狗反链接”等综合搜索功能,共计26项!可以快速准确的定位到你想要定位的各类精品域名!同时,西部数码代理域名抢注整合了全球多家抢注厂商(将陆续增加近200家抢注厂商),梳理出13个抢注渠道,从根本上提高抢注成功率!
其中第一关成功率高达99%。每天西部数码代理预发布功能也会发布一些优质的过期域名,可以直接注册拍卖。
预定你最喜欢的域名:http://zhuji.chenqinet.cn/services/grab/index.asp.