建设部网站如何下载规范 标准,排版的网站,清空wordpress多媒体,产品包装设计网站一 生成自签证书
以下是生成自签证书(包括服务端和客户端的证书)的步骤#xff0c;以下命令执行两次#xff0c;分别生成客户端和服务端证书和私钥。具体执行可以先建两个目录client和server#xff0c;分别进入到这两个目录下执行下面的命令。 生成私钥#xff1a; 首先以下命令执行两次分别生成客户端和服务端证书和私钥。具体执行可以先建两个目录client和server分别进入到这两个目录下执行下面的命令。 生成私钥 首先你需要生成一个私钥。通常使用RSA算法你可以通过以下命令生成一个2048位的私钥 openssl genrsa -out private.key 2048这里private.key是你的私钥文件名。 生成证书签名请求CSR 使用私钥生成一个证书签名请求CSR。在这一步你需要提供一些组织和个人的信息。 openssl req -new -key private.key -out csr.csr执行此命令后OpenSSL会提示你输入一些信息如国家代码C、州或省份ST、城市L、组织名称O、通用名称CN等。这些信息将被包含在你的CSR中。 生成自签证书 最后使用私钥和CSR生成自签证书。你可以指定证书的有效期。 openssl x509 -req -days 365 -in csr.csr -signkey private.key -out certificate.crt-days 365表示证书有效期为365天。certificate.crt是生成的自签证书文件名。 验证证书 你可以使用以下命令来验证生成的证书 openssl x509 -in certificate.crt -text -noout这个命令会显示证书的详细信息确保所有信息都是正确的。 可选生成PEM格式的证书链文件 如果你需要将自签证书和中间证书如果有的话合并成一个PEM格式的文件可以使用以下命令 cat certificate.crt intermediate.crt chain.pem如果你只有一个自签证书这一步可以跳过。 重命名证书 利用上面的命令可以得到私钥[private.key]和证书[certificate.crt],为了区分服务端和客户端将其重新命名为[private-client.key]/[certificate-client.crt]和[private-server.key]/[certificate-server.crt]
二 生成浏览器端验证时需要导入到windows中的pfx文件
使用以下命令将[private-client.key]/[certificate-client.crt]合并成一个PFX文件
openssl pkcs12 -export -out certificate-client.pfx -inkey private-client.key -in certificate-client.crt -certfile certificate-client.crt在这个命令中
-out certificate-client.pfx 指定输出的PFX文件名。-inkey private-client.key 指定私钥文件。-in certificate-client.crt 指定证书文件。-certfile certificate-client.crt 指定CA证书文件如果你有中间证书或链证书也需要包含在内自签证书这里放了和-in一样的证书。 执行命令后OpenSSL会提示你输入一个密码来保护PFX文件。这个密码将在导入PFX文件时需要。
三 NGINX配置ssl证书
包括配置服务端证书、开启客户端证书验证、配置客户端证书的验证证书。server {listen 9443 ssl http2;listen [::]:9443 ssl http2;server_name xxx.xxx.cn;ssl_certificate certificate-server.crt;ssl_certificate_key private-server.key;ssl_client_certificate certificate-client.crt; # CA根证书路径用于验证客户端证书ssl_verify_client on; # 开启客户端证书验证ssl_session_cache shared:SSL:1m;ssl_session_timeout 10m;ssl_ciphers PROFILESYSTEM;ssl_prefer_server_ciphers on;include /etc/nginx/default.d/*.conf;location / {proxy_pass http://127.0.0.1:8081/;}}四 在windows中导入pfx文件
直接双击pfx文件按提示导入即可。导入过程需要输入密码。截取部分图片
导入成功后可以在证书管理查看导入的证书 打开浏览器第一次访问服务时会让我们选择证书
五 解决浏览器提示自签服务端证书不受信任问题 一般是将服务端证书导入到受信任的根证书中即可解决。
