本文的内容

显示

1.

步骤1:生成CA证书

2.

步骤2:生成服务器证书。

3.

步骤3:将服务器证书部署到服务器。

3.1.

推荐阅读

可以自建域名SSL证书吗？SSL证书可以自己做吗？答案肯定是肯定的，但是我做的SSL证书不被浏览器信任，主要用于本地测试和学习。证书颁发机构(CA组织)颁发的SSL证书，只有在CA组织通过了国际webtrust认证和电子发行法的情况下，才能被浏览器信任。但是自建的SSL证书往往是https，但是浏览器还是显示连接不安全。如果你觉得各种云服务商平台上的免费ssl证书不香，想自己做一个SSL证书，这里老刘博客准备了以下教程，使用OpenSSL自签名SSL证书对网站进行https，让IE和Firefox浏览器正常安全访问。

这里不探讨域名SSL证书的实现原理。我们的任务是充当CA组织，然后检查服务器要使用的证书。本教程在windows中实现。实验前，确保你的电脑里有openssl程序。如果没有，老刘的博客为你准备了一个：http://download.okcoder.cn/openssl_create.zip.

UCloud免费SSL证书

步骤1:生成CA证书

1.创建私钥

OpenSSL gen RSA-out ca/ca-key . PEM 1024

2.创建证书申请

OpenSSL req-new-out ca/ca-req . CSR-key ca/ca-key . PEM

3.自签名证书，有效期10年(现在正式的SSL证书有效期13个月)。

OpenSSL x509-req-in ca/ca-req . CSR-out ca/ca-cert . PEM-sign key ca/ca-key . PEM-days 3650

4.将证书导出为浏览器支持的. p12格式(此步骤不需要，可以省略)。

OpenSSL pkcs12-export-clcerts-in ca/ca-cert . PEM-in key ca/ca-key . PEM-out ca/ca . p12

创建后，将此根证书导入浏览器(受信任的根证书颁发机构):

IE:双击步骤4中生成的p12证书文件。

Firefox:选项-隐私和安全-证书-查看证书-将ca-cert.pem导入证书颁发机构。

Chrome:菜单设置-左上角设置-高级-隐私设置和安全-证书管理-可信根认证机构-导入ca-cert.pem证书文件。

步骤2:生成服务器证书。

1.创建私钥

OpenSSL gen RSA-out server/server-key . PEM 1024

2.创建证书申请

OpenSSL req-new-out server/server-req . CSR-key server/server-key . PEM

(这一步，常用名需要填写自己的域名。)

3.用您自己的CA证书签署服务器证书。

OpenSSL x509-req-in server/server-req . CSR-out server/server-cert . PEM-sign key server/server-key . PEM-CA CA/CA-cert . PEM-CAkey CA/CA-key . PEM-cacreate serial-days 3650

4.将证书导出为浏览器支持的. p12格式(此步骤不需要，可以省略)。

OpenSSL pkcs12-export-CLC ERTs-in server/server-cert . PEM-in key server/server-key . PEM-out server/server . p12

创建服务器证书后，用Ca证书合成一个完整的证书链：

cat server-cert . PEM ca-cert . PEM full . PEM

步骤3:将服务器证书部署到服务器。

服务器{

SSL _ certificate/path/to/full . PEM；

SSL _ certificate _ key/path/to/server-key . PEM；

ssl _ prefer _ server _ ciphers on

ssl_ciphers高：阿努尔：MD5

位置~。*\\.(php|php5)？$

{

fastcgi _ pass 127 . 0 . 0 . 1:9000；

fastcgi _ index index.php；

包括fastcgi.conf

}

位置~。*\\.(gif|jpg|jpeg|png|bmp|swf)$

{

过期30d

}

位置~。*\\.(js|css)？$

{

过期1h；

}

}

此时，可以使用OpenSSL自签名域名SSL证书。

实验结果：IE和Firefox可以正常访问，但是Chrome一直无法识别自签名证书(net:err _ cert _ authority _ invalid)。如果有实验成功的朋友请留言。如果觉得太麻烦，可以直接在UCloud云平台上免费申请一个域名SSL证书。教程见《网站启用https:UCloud优刻得免费SSL证书申请与部署流程》。

西部数码代理(chenqinet.cn)是工信部、ICANN、CNNIC认证的全球顶级域名注册服务机构，中国五星级域名注册商！超过2000万个域名通过西部数码代理注册和管理，超过100万个网站托管在西部数码代理云服务器和虚拟主机。西部数码代理支持数十个顶级域名的注册和管理，支持批量查询、批量注册、批量分析、智能分析、批量迁移等便捷易用的功能，使用体验非常好。

目前西部数码代理域名注册在售，最低只要1元！

更多详情，请见http://zhuji.chenqinet.cn/services/domain/.

西部数码代理域名抢占预订，支持各类高价值老域名抢占，支持“网站历史、百度收录、百度权重、历史外链、百度评价、搜狗反链接”等综合搜索功能，共计26项！可以快速准确的定位到你想要定位的各类精品域名！同时，西部数码代理域名抢注整合了全球多家抢注厂商(将陆续增加近200家抢注厂商)，梳理出13个抢注渠道，从根本上提高抢注成功率！

其中第一关成功率高达99%。每天西部数码代理预发布功能也会发布一些优质的过期域名，可以直接注册拍卖。

预定你最喜欢的域名：http://zhuji.chenqinet.cn/services/grab/index.asp.