CentOS использовать OpenSSL для создания самозаверяющего сертификата SSL и настроен на Nginx

Проверьте OpenSSL

Проверьте, если установлен OpenSSL:

OpenSSL версии

Обычно в CentOS7, было установлено OpenSSL по умолчанию.

Генерирование самоподписанного сертификата SSL и закрытый ключ

Шаг 1: Генерация закрытого ключа

Новый каталог /etc/ssl/certs/www.ffcc.com и введите, после выполнения команды:

OpenSSL genrsa -des3 - из server.key 1024

Введите более четыре пароля.

Шаг второй: Генерация CSR (Certificate Signing Request)

OpenSSL REQ - новый -key server.key - из server.csr -subj " /C=CN/ST=Zhejiang/L=Hangzhou/O=mofei/OU=mofei/CN=www.ffcc.com "

Subj параметры следующим образом:

поле	поле Значение	примеров
/ С =	Национальное	CN
/ ST =	Государство или провинция 省	Zhejiang
/ L =	Место или город Город	Ханчжоу
/ О =	организация или предприятие, организация	mofei
/ OU =	отдел Подразделение организации	mofei
/ CN =	Общее имя доменное имя или IP	www.ffcc.com

 

 

 

 

 

 

 

 

 

 

 

 

 

Третий шаг: удалить секретный пароль ключа

На первом этапе для создания секретного ключа, поскольку необходимо указать пароль. И этот код принесет побочный эффект, то есть, каждый раз при запуске веб-сервера, будет предложено ввести пароль,

Это, очевидно, очень неудобно. Чтобы удалить секретный ключ в пароле, следующим образом:

OpenSSL RSA - в server.key - из server.key

Шаг четвертый: Создание Самозаверяющего SSL сертификатов

# - Дни сертификат действителен - день 
OpenSSL X509 -req -days 3650 - в server.csr -signkey server.key - OUT server.crt

Нужно использовать файл сертификата: server.crt и server.key

X.509 сертификат состоит из трех файлов: ключ ЦСР, КРТ.

Ключ частный ключевой файл на сервере, используется для отправки шифрования данных клиента, и дешифрование данных , полученных от клиента
КСО является файл запроса на подпись сертификата для представления сертификата (ЦС) , чтобы подписать сертификат
свидетельство элт органом подписи сертификатов (CA), или самозаверяющий разработчик сертификата, содержит информацию владельца сертификата, владелец открытого ключа, а также подпись и другой информацию подписавшего
Примечание: в криптографии в, X.509 является стандартной спецификацией открытых ключей, списков отозванных сертификатов, сертификаты авторизации, сертификат алгоритм проверки пути.

Шаг пятый: Настройте сертификат в файле конфигурации Nginx

не пользователь никто; 
worker_processes   1 ; 

#error_log журналы / error.log; 
#error_log журналы / error.log уведомление; 
#error_log журналы / error.log информация; 

#pid журналы / nginx.pid; 


события { 
    worker_connections   1024 ; 
} 


HTTP { 
    включают mime.types; 
    default_type приложения / octet- потока; 

    #log_format основной   ' $ remote_addr - $ REMOTE_USER [$ time_local] "$ запрос" ' 
    #                   ' $ статус $ body_bytes_sent "$ HTTP_REFERER"' 
    #                   ' "$ Http_user_agent" "$ HTTP_X_FORWARDED_FOR" ' ; 

    #access_log журналы / access.log главное; 

    SendFile на; 
    #tcp_nopush на; 

    #keepalive_timeout   0 ; 
    keepalive_timeout   65 ; 

    GZIP на; 

    Сервер { 
        слушать        80 ; 
        server_name www.ffcc.com; 
        перепишем ^ https: (*.) // $ server_name $ 1 постоянный; 
    } 

    Сервер { 
        слушать        443 SSL; 
    keepalive_timeout   70 ; 
        server_name www.ffcc.com; 
        РАСПОЛОЖЕНИЕ / { 
            proxy_pass HTTP: // 127.0.0.1:65432/v2ui; 
            proxy_redirect по умолчанию ; 
            client_max_body_size 10м; # обозначает 10M максимум загрузки, сколько набор сколько. 
            # Установка хоста и головы клиента реальный адрес для сервера , чтобы получить клиент реального IP 
            proxy_set_header $ Хост Хост, 
            proxy_set_header Х- -Real- IP $ REMOTE_ADDR, 
            proxy_set_header Х- -Forwarded- Для $ proxy_add_x_forwarded_for; 
            proxy_set_header Х- -Forwarded- схемы Схема $; 
        } 
        error_page    500 502  503  504   / 50x.html; 
        МЕСТОНАХОЖДЕНИЕ = / 50x.html { 
            корень HTML; 
        } 
        ssl_certificate       /etc/ssl/certs/www.ffcc.com/ server.crt; 
        ssl_certificate_key   /etc/ssl/certs/www.ffcc.com / server.key; 
        # уменьшает ClickJacking 
        add_header Х- -Frame- Опция ОТРИЦАТЬ; 
        # запретить сервер автоматически разрешает тип ресурса 
        add_header Х- -поперечник-тип- Опция nosniff; 
        # анти-XSS нападение 
        add_header в Х- -Xss-защита 1 ; 
        # отдавать приоритет на сервер алгоритм
        ssl_prefer_server_ciphers на; 
        # 
        Ssl_protocols TLSv1 TLSv1. 1 TLSv1. 2 ; 
        ssl_ciphers HIGH: ! aNULL :! MD5; 
        ssl_session_cache общий: SSL: 10m; 
        ssl_session_timeout 10м; 
    } 

}

 

 

Обратите внимание

Существует самоподписная безопасность сертификата SSL риски в потребности производственной среды на приобретение и использование сертификатов по авторитету и подходам сертификации.