如何在nginx服务器部署ssl证书

1、创建SSL证书

11生产私钥，openssl genrsa -des3 -out xn2lqbcomkey 2048。此命令将生成2048位的RSA私钥，使用DES3算法，私钥文件名可任意命名，在Nginx配置中指定文件路径即可，会提示设定私钥密码，请设置密码，并牢记。

[root@Monitorssl]#opensslgenrsa-des3-outxn2lqbcom2048 GeneratingRSAprivatekey,2048bitlongmodulus ……………………………+++ ………………………………………………+++ eis65537(0x010001) Enterpassphraseforxn2lqbcom: Verifying-Enterpassphraseforxn2lqbcom:

12以上生产的key是有密码的，如果把密码去除，执行如下命令openssl rsa -in xn2lqbcom -out xn2lqbcom_nopwdkey

[root@Monitorssl]#ls xn2lqbcom [root@Monitorssl]#opensslrsa-inxn2lqbcom-outxn2lqbcom_nopwdkey Enterpassphraseforxn2lqbcom: writingRSAkey

13由已生产的私钥生成证书请求文件CSR。openssl rsa -in xn2lqbcom -out xn2lqbcom_nopwdkey

[root@Monitorssl]#opensslrsa-inxn2lqbcom-outxn2lqbcom_nopwdkey Enterpassphraseforxn2lqbcom: writingRSAkey [root@Monitorssl]#opensslreq-new-keyxn2lqbcom-outxn2lqbcomcsr Enterpassphraseforxn2lqbcom: Youareabouttobeaskedtoenterinformationthatwillbeincorporated intoyourcertificaterequest WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN Therearequiteafewfieldsbutyoucanleavesomeblank Forsomefieldstherewillbeadefaultvalue, Ifyouenter’’,thefieldwillbeleftblank —– CountryName(2lettercode)[AU]:CN StateorProvinceName(fullname)[Some-State]:shanghai LocalityName(eg,city)[]:shanghai OrganizationName(eg,company)[InternetWidgitsPtyLtd]:xn2lqbcom OrganizationalUnitName(eg,section)[]:IT CommonName(egserverFQDNorYOURname)[]:xn2lqbcom EmailAddress[]:2223344@qqcom Pleaseenterthefollowing’extra’attributes tobesentwithyourcertificaterequest Achallengepassword[]: Anoptionalcompanyname[]: [root@Monitorssl]#ls xn2lqbcomxn2lqbcomcsrxn2lqbcom_nopwdkey

14证书请求文件CSR文件必须有CA的签名才能形成证书，可以将此CSR发给StartSSL(可免费)、verisign(一大笔钱)等地方由他来验证。也可以自己做CA，自己给自己颁发证书。创建一个自己签署的CA证书。openssl req -new -x509 -days 3650 -key xn2lqbcom -out xn2lqbcomcrt

[root@Monitorssl]#opensslreq-new-x509-days3650-keyxn2lqbcom-outxn2lqbcomcrt xn2lqbcomxn2lqbcomcsrxn2lqbcom_nopwdkey [root@Monitorssl]#opensslreq-new-x509-days3650-keyxn2lqbcom_nopwdkey-outxn2lqbcomcrt Youareabouttobeaskedtoenterinformationthatwillbeincorporated intoyourcertificaterequest WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN Therearequiteafewfieldsbutyoucanleavesomeblank Forsomefieldstherewillbeadefaultvalue, Ifyouenter’’,thefieldwillbeleftblank —– CountryName(2lettercode)[AU]:CN StateorProvinceName(fullname)[Some-State]:Shanghai LocalityName(eg,city)[]:shanghai OrganizationName(eg,company)[InternetWidgitsPtyLtd]:lqbcom OrganizationalUnitName(eg,section)[]:IT CommonName(egserverFQDNorYOURname)[]:xn2lqbcom EmailAddress[]: [root@Monitorssl]#ls xn2lqbcomxn2lqbcomcrtxn2lqbcomcsrxn2lqbcom_nopwdkey

2、配置nginx虚拟主机文件

[root@Monitorssl]#vim/serverconf server{ listen80; server_namexn2lqbcom; root/html/xn2; #rewrite^/()$>不起作用，并不会被浏览器信任，反而增加了很多不安全因素。
创建自签名证书的步骤
注意：以下步骤仅用于配置内部使用或测试需要的SSL证书。
第1步：生成私钥
使用openssl工具生成一个RSA私钥
$ openssl genrsa -des3 -out serverkey 2048
说明：生成rsa私钥，des3算法，2048位强度，serverkey是秘钥文件名。
注意：生成私钥，需要提供一个至少4位的密码。
第2步：生成CSR（证书签名请求）
生成私钥之后，便可以创建csr文件了。
此时可以有两种选择。理想情况下，可以将证书发送给证书颁发机构（CA），CA验证过请求者的身份之后，会出具签名证书（很贵）。另外，如果只是内部或者测试需求，也可以使用OpenSSL实现自签名，具体 *** 作如下：
$ openssl req -new -key serverkey -out servercsr
说明：需要依次输入国家，地区，城市，组织，组织单位，Common Name和Email。其中Common Name，可以写自己的名字或者域名，如果要支持>

SSL证书通常是颁发给域名的，但是有些企业需要IP地址实现>

只是IP地址申请SSL证书需满足以下条件：

1、必须是公网IP，且申请者对该IP具有管理权限；

2、使用IP申请证书，只能申请单个IP或多个IP绑在一起的SSL证书，不支持IP段的通配符；

3、申请者可以是机构或者企业，也可以是个人用户。

IPSSL证书分为基础型IPSSL证书和企业型IPSSL证书。

ssl证书申请的3个主要步骤

1、制作CSR文件

所谓CSR就是由申请人制作的Certificate Secure Request证书请求文件。制作过程中，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要制作CSR文件，申请人可以参考WEB SERVER的文档，一般APACHE等，使用OPENssl命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。

2、CA认证

将CSR提交给CA，CA一般有2种认证方式：

1)域名认证：一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称;

2)企业文档认证：需要提供企业的营业执照。

也有需要同时认证以上2种方式的证书，叫EV ssl证书，这种证书可以使IE7以上的浏览器地址栏变成绿色，所以认证也最严格。

3、证书安装

在收到CA的证书后，可以将证书部署上服务器，一般APACHE文件直接将KEY+CER复制到文件上，然后修改>

使用ssl证书不仅能让信息的安全性更有保障，还可以提高用户对于网站的信任度。

网站如何获得SSL证书请参考：网页链接（SSL证书申请，如何申请SSL证书）

SSL的工作流程如下：

1、客户端发送列出客户端密码能力的客户端“您好”的消息；

2、 服务器以服务器“您好”的消息响应；

3、 服务器发送其SSL数字证书；

4、 服务器发出服务器“您好完成”消息并等待客户端响应；

5、 接到服务器“您好完成”消息，客户端将验证服务器的SSL数字证书的有效性并检查服务器的“你好”消息参数是否可以接受；

6、 客户端发送“客户端密钥交换”消息；

7、 客户端使用加密运算将 pre master secret 转化为 master secret，然后，客户端发出“更改密码规范” 消息将服务器转换为新协商的密码对。客户端发出的下一个消息为用此密码方法和密钥加密的第一条消息；

8、 服务器以自己的“更改密码规范”和“已完成”消息响应；

9、发送加密的应用程序数据。

---