证书来源:
费钱购买;利用免费的let’s encrypt的免费证书,有些设备不信赖而已;天生不信赖的证书自用。配置
server { listen 443;#监听443端口(https默认端口) server_name www.opcai.com; #填写绑定证书的域名 ssl on; ssl_certificate xxx.crt;#填写你的证书所在的位置 ssl_certificate_key xxx.key;#填写你的key所在的位置 ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置 ssl_prefer_server_ciphers on; location / { root xxx ; #填写你的你的站点目录 index index.php index.html index.htm; }}
天生不信赖的证书
1、创建密钥
利用openssl工具天生一个RSA私钥
openssl genrsa -des3 -out server.key 2048
把稳:天生私钥,须要供应一个至少4位,最多1023位的密码。
2、天生CSR(证书署名要求)
openssl req -new -key server.key -out server.csr
3、删除密钥中的密码
openssl rsa -in server.key -out server.key
解释:如果不删除密码,在运用加载的时候会涌现输入密码进行验证的情形,未便利自动化支配。
4、天生自署名证书
内部或者测试利用,只要忽略证书提醒就可以了。
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
5、天生pem格式的公钥
有些做事,须要有pem格式的证书才能正常加载,可以用下面的命令:
openssl x509 -in server.crt -out server.pem -outform PEM
