zoukankan      html  css  js  c++  java
  • nginx ssl 卸载功能 第八章

    一 、证书自签发和给web 服务签发证书

    .ssl 证书加密文件
        
        ******************************
            建立私有CA
            openCA
            openssl
        证书申请及签署步骤
            1.生成证书申请请求
            2.RA 效验
            3.CA 签署
            4. 获取证书
        openssl  默认配置文件:/etc/pki/tls/openssl.cnf
            1.创建所需要的文件
          文件serial和index.txt分别用于存放下一个证书的序列号和证书信息数据库。 
          文件serial填写第一个证书序列号(如10000001),之后每前一张证书,序列号自动加1。
                touch index.txt
                echo 01 > serial
            2.CA 自签发证书
               
            生成私钥:
                (umask 077; openssl genrsa -out private/cakey.pem 2048) 
            
            生成新证书:
                openssl  req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out cacert.pem
                -new :生成新的证书签署文件
                -x509 :专用于CA 自签发证书
                -key :私钥
                -days :有效期
                -out : 证书的保存路径
            然后根据信息填完可以生成新的证书了
            
            3.发证
                1.主机生成证书请求文件
                2.将请求文件发给CA 
                3.CA 效验请求文件
                4.签发
                
                    给httpd 服务器签发证书。
                    创建私钥:
                    (umask 077;openssl genrsa -out httpd.key 2048)
                    创建证书请求文件 
                    openssl req -new -key httpd.key -days 365 -out httpd.csr
                    签发证书
                    openssl ca -in /etc/httpd/ssl/httpd.csr -out httpd.crt -days 365
                    查看证书中的信息:
                    openssl x509  -in /path/cert_file -noout -text 

    二、 nginx 配置

        server {
            listen       443 ssl;
            server_name  nginx.test;  #设置 host 名称必须与证书中的
    
            ssl_certificate      /etc/pki/CA/nginx/httpd.crt;
            ssl_certificate_key  /etc/pki/CA/nginx/httpd.key;
    
            ssl_session_cache    shared:SSL:1m;
            ssl_session_timeout  5m;
    
            ssl_ciphers  HIGH:!aNULL:!MD5;
            ssl_prefer_server_ciphers  on;
    
            location / {
                root   html;
                index  index.html index.htm;
            }
        }

    三、 测试

    提示不安全是Chrome  安全性比较高,这种证书合规性不好

  • 相关阅读:
    用Asp.Net实现类似DWR的功能
    Icesword FAQ端口 进程 服务篇
    用脚本实时显示Linux网络流量
    为DropDownList 添加optgroup分组以及为ListItem 加式样
    C# 中Treeview无限级目录实现
    .NET 2.0 WinForm Control DataGridView 编程36计(一)
    如何:从 Windows 窗体 DataGridView 控件中移除自动生成的列
    分组显示的select下拉选框
    如何用命令行查找并快速定位ARP病毒母机
    在.NET上如何根据字符串动态创建控件
  • 原文地址:https://www.cnblogs.com/zy09/p/10362107.html
Copyright © 2011-2022 走看看