内网离线搭建之----nginx配置ssl高可用

?

一、证书生成

1.生成服务端私钥

openssl genrsa -des3 -out server.key 2048

2.去除server.key密码

ps：否则每次用到都需要输入密码

openssl rsa -in server.key -out server.key

3.生成证书的签名

ps：使用机构颁发证书的到这一步就可以了，用server.csr去证书颁发机构去买签名

openssl req -new -key server.key -out server.csr

?

自己签名

ps:可以使用但会出现浏览器报不安全

4.生成CA 的KEY

ps：类似第二步可选择去掉密码

openssl genrsa -des3 -out ca.key 2048

5.生成本地根证书

openssl req -new -x509 -key ca.key -out ca.crt

6.为server.csr签名

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

?生成以下五个文件，server.crt和server.key 用来配置nginx

二、nginx重新编译

前置--离线安装nginx

?http://t.csdnimg.cn/ApFIM

1.解压openssl

ps：centos7 自带的openssl? nginx重新编译时报错，需要单独下载openssl包，解压，不需要安装。其他的前置条件参考置顶的前一篇内容！

tar -zxvf openssl-1.1.1l.tar.gz

2.nginx重新编译

添加支持ssl配置模块（需要openssl）

./configure --with-stream --with-http_ssl_module --with-stream_ssl_module --with-openssl=../openssl-1.1.1l

3.添加配置文件

 server {
        listen       8080 ssl;
        server_name  localhost2;
		ssl_certificate /usr/local/nginx/cert/server.crt;
        ssl_certificate_key /usr/local/nginx/cert/server.key;
        ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers  AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
        ssl_session_cache  shared:SSL:10m;
        ssl_session_timeout  10m;

        location / {
            root   html;
            index  index.html index.htm;
        }
}

重新 启动

/usr/local/nginx/sbin/nginx -s stop
/usr/local/nginx/sbin/nginx -s start

三.验证

PS：不是正规机构颁发而是自己颁发的证书，浏览器会显示不安全

生成证书时填写的组织名称等等。。。不要用中文