Проверьте OpenSSL
Проверьте, если установлен OpenSSL:
OpenSSL версии
Обычно в CentOS7, было установлено OpenSSL по умолчанию.
Генерирование самоподписанного сертификата SSL и закрытый ключ
Шаг 1: Генерация закрытого ключа
Новый каталог /etc/ssl/certs/www.ffcc.com и введите, после выполнения команды:
OpenSSL genrsa -des3 - из server.key 1024
Введите более четыре пароля.
Шаг второй: Генерация CSR (Certificate Signing Request)
OpenSSL REQ - новый -key server.key - из server.csr -subj " /C=CN/ST=Zhejiang/L=Hangzhou/O=mofei/OU=mofei/CN=www.ffcc.com "
Subj параметры следующим образом:
поле | поле Значение | примеров |
/ С = | Национальное | CN |
/ ST = | Государство или провинция 省 | Zhejiang |
/ L = | Место или город Город | Ханчжоу |
/ О = | организация или предприятие, организация | mofei |
/ OU = | отдел Подразделение организации | mofei |
/ CN = | Общее имя доменное имя или IP | www.ffcc.com |
Третий шаг: удалить секретный пароль ключа
На первом этапе для создания секретного ключа, поскольку необходимо указать пароль. И этот код принесет побочный эффект, то есть, каждый раз при запуске веб-сервера, будет предложено ввести пароль,
Это, очевидно, очень неудобно. Чтобы удалить секретный ключ в пароле, следующим образом:
OpenSSL RSA - в server.key - из server.key
Шаг четвертый: Создание Самозаверяющего SSL сертификатов
# - Дни сертификат действителен - день OpenSSL X509 -req -days 3650 - в server.csr -signkey server.key - OUT server.crt
Нужно использовать файл сертификата: server.crt и server.key
X.509 сертификат состоит из трех файлов: ключ ЦСР, КРТ.
Ключ частный ключевой файл на сервере, используется для отправки шифрования данных клиента, и дешифрование данных , полученных от клиента
КСО является файл запроса на подпись сертификата для представления сертификата (ЦС) , чтобы подписать сертификат
свидетельство элт органом подписи сертификатов (CA), или самозаверяющий разработчик сертификата, содержит информацию владельца сертификата, владелец открытого ключа, а также подпись и другой информацию подписавшего
Примечание: в криптографии в, X.509 является стандартной спецификацией открытых ключей, списков отозванных сертификатов, сертификаты авторизации, сертификат алгоритм проверки пути.
Шаг пятый: Настройте сертификат в файле конфигурации Nginx
не пользователь никто; worker_processes 1 ; #error_log журналы / error.log; #error_log журналы / error.log уведомление; #error_log журналы / error.log информация; #pid журналы / nginx.pid; события { worker_connections 1024 ; } HTTP { включают mime.types; default_type приложения / octet- потока; #log_format основной ' $ remote_addr - $ REMOTE_USER [$ time_local] "$ запрос" ' # ' $ статус $ body_bytes_sent "$ HTTP_REFERER"' # ' "$ Http_user_agent" "$ HTTP_X_FORWARDED_FOR" ' ; #access_log журналы / access.log главное; SendFile на; #tcp_nopush на; #keepalive_timeout 0 ; keepalive_timeout 65 ; GZIP на; Сервер { слушать 80 ; server_name www.ffcc.com; перепишем ^ https: (*.) // $ server_name $ 1 постоянный; } Сервер { слушать 443 SSL; keepalive_timeout 70 ; server_name www.ffcc.com; РАСПОЛОЖЕНИЕ / { proxy_pass HTTP: // 127.0.0.1:65432/v2ui; proxy_redirect по умолчанию ; client_max_body_size 10м; # обозначает 10M максимум загрузки, сколько набор сколько. # Установка хоста и головы клиента реальный адрес для сервера , чтобы получить клиент реального IP proxy_set_header $ Хост Хост, proxy_set_header Х- -Real- IP $ REMOTE_ADDR, proxy_set_header Х- -Forwarded- Для $ proxy_add_x_forwarded_for; proxy_set_header Х- -Forwarded- схемы Схема $; } error_page 500 502 503 504 / 50x.html; МЕСТОНАХОЖДЕНИЕ = / 50x.html { корень HTML; } ssl_certificate /etc/ssl/certs/www.ffcc.com/ server.crt; ssl_certificate_key /etc/ssl/certs/www.ffcc.com / server.key; # уменьшает ClickJacking add_header Х- -Frame- Опция ОТРИЦАТЬ; # запретить сервер автоматически разрешает тип ресурса add_header Х- -поперечник-тип- Опция nosniff; # анти-XSS нападение add_header в Х- -Xss-защита 1 ; # отдавать приоритет на сервер алгоритм ssl_prefer_server_ciphers на; # Ssl_protocols TLSv1 TLSv1. 1 TLSv1. 2 ; ssl_ciphers HIGH: ! aNULL :! MD5; ssl_session_cache общий: SSL: 10m; ssl_session_timeout 10м; } }
Обратите внимание
Существует самоподписная безопасность сертификата SSL риски в потребности производственной среды на приобретение и использование сертификатов по авторитету и подходам сертификации.