1.生成CA根证书
# 生成CA私钥
openssl genrsa -out ca.key 2048
# 生成CA根证书,-day指定证书有效期
openssl req -new -x509 -key ca.key -out ca.crt -days 3650
第二步需要输入几个东西,虽然说乱填也可以,但建议按照提示来填,其中Common Name需要特别注意,如果是生成CA证书的话,可以输入诸如My_CA之类的。
示例参数:
2.生成服务端证书
# 生成服务端私钥
openssl genrsa -out server.key 2048
# 生成证书请求文件
openssl req -new -key server.key -out server.csr
# 生成最终证书文件,-day指定证书有效期
openssl x509 -req -days 3650 -sha256 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
到这里我们得到四个文件:
配置NGINX.CONFING
执行重载命令nginx -s reload,使修改的配置生效。
3.浏览器导入证书
将制作好的ca.crt拷贝到客户端机器上,双击安装导入这个自制根证书即可,安装证书时一定要注意,存储目录要选择“受信任的根证书颁发机构”,以后只要是利用这个证书生成证书浏览器都会认为是可信任的。
至此整个证书制作完成。
|
Country Name |
CN |
国家 |
|
State or Province Name |
JX |
省份 |
|
Locality Name |
NC |
地区 |
|
Organization Name |
TELLHOW |
机构名 |
|
Organizational Unit Name |
TELLHOW |
机构部门 |
|
Common Name |
TELLHOW_CA |
证书名。这个特别注意,如果是生成CA证书的话,可以输入诸如My_CA,TELLHOW_CA之类的。 |
|
Email Address |
|
邮箱 |