共计 989 个字符,预计需要花费 3 分钟才能阅读完成。
背景
由于公司研发人员增加,测试服务器不够用了,所以加了新服务器,新服务器的 https 证书就成问题了,总不能每次新增服务器都要重新生成 https 证书吧,而且还得让全公司研发都信任一遍,那是相当费事了。
解决方案
公司自己当证书颁发机构,所有人将公司设为受信任的证书颁发机构,这样公司颁发的所有证书就会被自动信任
生成 rootCA
什么是 CA?数字证书认证机构(英语:Certificate Authority,缩写为 CA),下面是生成 ca 的方法
生成私钥
openssl genrsa -des3 -out myCA.key 2048命令执行过程中会要求输入密码,由于是测试环境,对安全性没那么高,可以随便输一个。
生成 rootCA
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 36500 -out myCA.pem执行过程中会要求输入各种信息,按要求输入即可
完成
现在我们有 myCA.pem,这就 root CA。
然后在操作系统里信任 myCA.pem。
使用 rootCA 生成证书
生成私钥
openssl genrsa -out dev.com.key 2048生成签名请求
openssl req -new -key dev.com.key -out dev.com.csr创建配置文件 dev.com.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = dev.com最后生成证书
openssl x509 -req -in dev.com.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial \
-out dev.com.crt -days 1825 -sha256 -extfile dev.com.ext现在有 3 个文件 dev.com.key(私钥),dev.com.csr(证书签名请求),dev.com.crt(证书)
nginx 配置
ssl_certificate dev.com.crt;
ssl_certificate_key dev.com.key;此文参考了这篇文章
正文完
