1.概要

在nginx進(jìn)行https代理的時(shí)候是需要配置證書(shū)的，通過(guò)CA機(jī)構(gòu)獲取的證書(shū)是收費(fèi)的，出于研究測(cè)試的話可以通過(guò)openssl自己制作證書(shū)，使用openssl制作證書(shū)如下：
(1)生成CA根證書(shū)
(2)生成服務(wù)器證書(shū)請(qǐng)求
(3)通過(guò)CA根證書(shū)和服務(wù)器證書(shū)請(qǐng)求生成服務(wù)器證書(shū)
服務(wù)器證書(shū)生成后，便可以在nginx進(jìn)行配置

2.openssl介紹

linux上的openssl是一個(gè)用于生成密鑰、公鑰，證書(shū)，以及進(jìn)行證書(shū)簽名的工具。

3.生成CA根證書(shū)

3.1配置openssl

在使用openssl前，首先需要對(duì)openssl進(jìn)行配置，設(shè)置好證書(shū)的存放目錄，序列ID等的存放位置，基本上默認(rèn)的設(shè)置都已經(jīng)做好了，只需要更改一下dir的值就好

vim /etc/ssl/openssl.cnf

image.png

然后針對(duì)于上圖的所示的文件結(jié)構(gòu)，創(chuàng)建對(duì)應(yīng)的文件目錄和文件

mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}
touch /etc/pki/CA/{serial,index.txt}

使用tree 命令查看目錄結(jié)構(gòu)如下所示:

woder@woder-pc:/etc$ tree /etc/pki
/etc/pki
├── CA
│   ├── certs          (已頒發(fā)的證書(shū)保存目錄)
│   ├── crl              (證書(shū)撤銷(xiāo)列表存放目錄)
│   ├── index.txt     (數(shù)據(jù)庫(kù)索引文件，記錄著一些已簽署的證書(shū)信息)
│   ├── newcerts    (新簽署證書(shū)的保存目錄)
│   ├── private        (存放CA私鑰的目錄)
│   └── serial        （當(dāng)前證書(shū)序列號(hào)）

3.2指定證書(shū)編號(hào)

根證書(shū)是用來(lái)生成服務(wù)器證書(shū)的，證書(shū)之間是存在鏈?zhǔn)疥P(guān)系，當(dāng)信任根證書(shū)時(shí)，由其衍生出來(lái)的證書(shū)都會(huì)被信任。
從根證書(shū)開(kāi)始每一個(gè)證書(shū)都有一個(gè)對(duì)應(yīng)的編號(hào)，是通過(guò)serial的值來(lái)進(jìn)行維護(hù)的，首先指明證書(shū)的開(kāi)始編號(hào)

echo 01 >> serial

3.3生成CA私鑰

使用umask 077使得之后生成文件的默認(rèn)權(quán)限為077，使用openssl工具生成 4096位的rsa秘鑰，該秘鑰存放在/etc/pki/CA/private/cakey.pem 中

umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096

image.png

3.4生成CA證書(shū)

使用剛生成的私鑰生成CA證書(shū)
req: 這是一個(gè)大命令，提供生成證書(shū)請(qǐng)求文件，驗(yàn)證證書(shū)，和創(chuàng)建根CA
-new: 表示新生成一個(gè)證書(shū)請(qǐng)求
-x509: 直接輸出證書(shū)
-key: 生成證書(shū)請(qǐng)求時(shí)用到的私鑰文件
-out：輸出文件

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

中間會(huì)要求輸入地址，郵箱，公司等名字，由于是自頒發(fā)，隨便輸入即可。

image.png

這個(gè)生成CA證書(shū)的命令會(huì)讓人迷惑，因?yàn)樯勺C書(shū)其實(shí)一般需要經(jīng)過(guò)三個(gè)步驟
1.生成秘鑰 xxx.pem
2.通過(guò)秘鑰 xxx.pem 生成證書(shū)請(qǐng)求文件 xxx.csr
3.通過(guò)證書(shū)請(qǐng)求文件 xxx.csr 生成最終的證書(shū) xxx.crt
但是以下的命令將2和3雜糅在了一起

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

其實(shí)等價(jià)于

//生成證書(shū)請(qǐng)求文件
openssl req -new -out /etc/pki/CA/req.csr -key /etc/pki/CA/private/cakey.pem
// -in 使用證書(shū)請(qǐng)求文件生成證書(shū)，-signkey 指定私鑰，這是一個(gè)還沒(méi)搞懂的參數(shù)
openssl x509 -req - in /etc/pki/CA/req.csr -out /etc/pki/CA/cacert.pem -signkey /etc/pki/CA/private/cakey.pem -days 3650

4.生成服務(wù)端證書(shū)

4.1生成服務(wù)端私鑰

首先我創(chuàng)建并進(jìn)入了~/https目錄，然后生成服務(wù)端的私鑰

openssl genrsa -out https.pem 4096

image.png

4.2生成服務(wù)端證書(shū)請(qǐng)求

openssl req -new -key https.pem -out https.csr -days 365 -subj "/C=CN/ST=asdf/L=asdf/O=asdf/CN=domainName.com/emailAddress=xxx@foxmail.com"

image.png

這里使用-subj 可以預(yù)先完成證書(shū)請(qǐng)求者信息的填寫(xiě)，但要注意，填入的信息中C和ST和L和Ｏ一定要與簽署的根證書(shū)一樣，如果忘記了根證書(shū)亂填了什么，可以通過(guò)如下指令進(jìn)行查詢(xún)

openssl x509 -in 根證書(shū)的路徑+名字 -noout -subject

4.3生成服務(wù)端證書(shū)

執(zhí)行以下命令之后就能得到證書(shū)文件https.cert，這就是用于發(fā)送給客戶(hù)端的證書(shū)

openssl ca -in https.csr -out https.crt -days 365

image.png

5 nginx的配置

由于https默認(rèn)采用443端口，所以此處配置443端口

5.1下載安裝配置nginx

wget http://nginx.org/download/nginx-1.11.3.tar.gz 
tar -zfxv nginx-1.11.3.tar,gzpeizhi
cd nginx-1.11.3
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
make install

進(jìn)入到配置文件nginx.conf，主要是修改ssl_certificate 和ssl_certificat_key，這兩個(gè)就分別放證書(shū)和私鑰就好了

image.png

使用配置文件啟動(dòng)nginx后

sudo /usr/sbin/nginx -c /home/woder/download/nginx-1.13.6/conf/nginx.conf 

最后在瀏覽器中使用https訪問(wèn) localhost，會(huì)提示不安全，是因?yàn)闆](méi)有信任根證書(shū)，但說(shuō)明已經(jīng)收到了根證書(shū)，點(diǎn)擊繼續(xù)瀏覽，可以看到nginx的歡迎頁(yè)；也可以把根證書(shū)通過(guò)chrome加以安裝信任

image.png

其它

除了服務(wù)端證書(shū)和CA根證書(shū)之外，還有一種類(lèi)型叫做客戶(hù)端證書(shū)，這個(gè)的作用是用來(lái)驗(yàn)證客戶(hù)的身份，在極少數(shù)的情況下會(huì)用到，比如說(shuō)網(wǎng)銀限制客戶(hù)在某臺(tái)機(jī)器上進(jìn)行登陸，很久之前銀行提供的u盾的作用就是為了提供客戶(hù)端證書(shū)而存在的。總之，證書(shū)的作用就是用來(lái)驗(yàn)證身份。

參考

使用 openssl 生成證書(shū)（含openssl詳解）：https://blog.csdn.net/gengxiaoming7/article/details/78505107
理解服務(wù)器證書(shū)CA&& SSL: https://blog.csdn.net/weixin_41830501/article/details/81128968
使用openssl生成證書(shū)(詳細(xì)): https://blog.csdn.net/gengxiaoming7/article/details/78505107
證書(shū)的簽發(fā)和通信過(guò)程: https://www.cnblogs.com/handsomeBoys/p/6556336.html
自簽名根證書(shū)和客戶(hù)端證書(shū)的制作: https://blog.csdn.net/ilytl/article/details/52450334
openssl指令說(shuō)明： https://www.cnblogs.com/gordon0918/p/5409286.html