脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器nginx → 制作ssl证书

制作能在nginx和IIS中使用的ssl证书

 更新时间:2021年06月21日 16:14:05   作者:没有星星的夏季  
现在的后端开发,动不动就是需要https,或者说是需要ssl证书,既然没有正版的证书,那么我们只能自己制作ssl的证书了。 证书的制作采用的是openssl工具,如果没有,可以自行安装下,因为笔者是在linux(ubuntu)下制作,所以一般是使用包管理工具(apt)安装好了的

  如果觉得证书制作比较麻烦,这里是本文制作好的证书:https://pan.baidu.com/s/1MJ5YmuZiLBnf-DfNR_6D7A (提取码:c6tj),密码都是:123456

  园友可下载证书,然后根据后文nginx和IIS的使用方法来使用证书。

制作SSL证书

  好了,先创建一个空目录,在这个空目录下开始制作:

1、生成私钥Key

  执行下面的命令生成私钥Key:  

    sudo openssl genrsa -des3 -out demo.key 1024
    # openssl genrsa 命令是会用来生成RSA私有秘钥,不会生成公钥,因为公钥提取自私钥
   # -des3  指定加密私钥文件用的算法,可以不用指定加密算法(自己测试用的话推荐不指定加密算法),可选:-des|-des3|-idea
   # -out demo.key  将生成的私钥保存至指定文件
   # 1024  指定要生成的私钥的长度(单位 bit),默认为1024,一般要么就是1024或者2048

  生成过程中会让输入密码,这里我测试使用的,直接输入了:123456

  注:上面生成的demo.key中使用了-des3加密算法参数,所以在部署使用后,如果需要重启,可能会要求输入密码确认,比如nginx -s reload时,这样在自己测试使用时就很麻烦了

  解决办法有两个:

  a.生成密码后再删除密码

  比如上面生成了一个demo.key的私钥文件,执行下面的命令可以重置: 

    sudo openssl rsa -in demo.key -out temp.key && sudo rm demo.key && sudo mv temp.key demo.key

  b.在生成私钥是不要指定-des3参数

  比如上面的生成demo.key的命令换成:  

    sudo openssl genrsa -out demo.key 1024

2、生成证书请求文件

  执行下面的命令生成证书请求文件:

    sudo openssl req -new -key demo.key -out demo.csr
    # openssl req 命令主要的功能有,生成证书请求文件, 查看验证证书请求文件,还有就是生成自签名证书
   # -new 说明生成证书请求文件
   # -key demo.key 指定已有的秘钥文件生成秘钥请求,只与生成证书请求选项-new配合。
   # -out demo.csr 指定生成的证书请求或者自签名证书名称

  命令执行后会让输入一些证书信息,具体可参考下图:

3、生成crt证书文件

  执行下面的命令生成证书文件:  

    sudo openssl x509 -req -days 36500 -in demo.csr -signkey demo.key -out demo.crt
    # openssl x509 命令主要用于输出证书信息,签署证书请求文件、生成自签名证书、转换证书格式等
   # -req 表明后面输入的是一个证书请求文件
   # -days 36500 证书的有效期,单位是天(一百年后我们再见吧)
   # -in demo.csr 指定输入文件
   # -signkey demo.key 签名证书秘钥
   # -out demo.crt 指定证书的输出文件

  如果提示类似如下,说明生成成功了:

4、生成pfx证书安装包

  执行下面命令生成安装包文件: 

    sudo openssl pkcs12 -export -inkey demo.key -in demo.crt -out demo.pfx
    # openssl pkcs12 命令用于生成和分析pkcs12文件
   # -export 指定了一个PKCS#12文件将会被创建
   # -inkey demo.key 指定私钥文件的位置。如果没有被指定,私钥必须在-in filename中指定
   # -in demo.crt 指定私钥和证书读取的文件
   # -out demo.pfx 指定输出的pkcs12文件

  执行命令后会输入密码,这里我输入同样是:123456  

  至此,证书就制作完成了,我们得到4个文件: 

    demo.crt:crt证书文件,nginx配置时可以用到
    demo.csr:crt证书请求文件,现在基本上没什么用了
    demo.key:私钥,nginx配置时可以用到
    demo.pfx:证书安装包,iis部署时可以用到

Nginx配置使用证书

  创建一个nginx配置配置文件:  

  server {
        listen 4430 ssl;
        listen [::]:4430 ssl;

        ssl on;
        ssl_certificate /home/feng/ssl/demo.crt;  #crt证书文件
        ssl_certificate_key /home/feng/ssl/demo.key;  #私钥文件
        ssl_session_timeout 5m;
        ssl_protocols SSLv3 SSLv2 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
        ssl_prefer_server_ciphers on;

        root /var/www/html;
        index index.html index.htm index.nginx-debian.html;

        server_name _;

        location / {
                try_files $uri $uri/ =404;
        }
  }

  注意,这里我为了区分,没有使用默认的443端口,而是使用了4430端口

  接着使用 nginx -t 验证和使用 nginx -s reload 重新加载后,使用浏览器访问4430可访问到了,只不过会提示存在风险,毕竟证书是自己制作的,如下图:

  点击高级=》接受风险就可以了

IIS配置使用证书   

  IIS配置证书需要pfx证书安装包(demo.pfx),这里以IIS7为例:

  打开IIS,在主页中点击【服务器证书】

   点击右边操作的【导入】,选择创建好的pfx证书文件,输入创建文件时输入的密码(上面第4步创建pfx文件时输入的密码,这里是123456):

  接着选择你要设置添加https请求类型的网站,在右边操作中点击【绑定】,然后按照下图操作:

  然后重启一下站点,在指定的端口使用https请求了

  注:如果你的电脑安装了VMware等工具,443端口可能启动报错,可能提示:另一个程序正在使用此文件,进程无法访问。解决办法参考:https://www.jb51.net/article/109375.htm

程序中使用证书

  有时,我们还可能需要在程序中使用证书,比如在使用Grpc,我们默认是使用https的,或者我们只是想使用https请求,那么我们可能需要在程序中使用证书来操作,比如.net core中使用自制证书来生成https请求的项目:

  我们创建一个.net core的web项目,使用上面创建的demo.pfx,修改Program.cs:  

    public class Program
    {

        public static void Main(string[] args)
        {
            CreateHostBuilder(args).Build().Run();
        }

        public static IHostBuilder CreateHostBuilder(string[] args) =>
            Host.CreateDefaultBuilder(args)
                .ConfigureWebHostDefaults(webBuilder =>
                {
                    webBuilder.ConfigureKestrel(options =>
                    {
                        options.ListenAnyIP(5000, listenOptions =>
                        {
                            listenOptions.UseHttps(@"C:\inetpub\wwwroot\demo.pfx", "123456");
                        });
                    });
                    webBuilder.UseStartup<Startup>();
                });
    }

  启动之后就可以使用https请求访问了

以上就是制作能在nginx和IIS中使用的ssl证书的详细内容,更多关于制作ssl证书的资料请关注脚本之家其它相关文章!

您可能感兴趣的文章:

相关文章

  • 提升Nginx性能的一些建议

    提升Nginx性能的一些建议

    这篇文章主要介绍了提升Nginx性能的一些建议,帮助大家更好的使用nginx,感兴趣的朋友可以了解下
    2020-09-09
  • Nginx虚拟主机的搭建的实现步骤

    Nginx虚拟主机的搭建的实现步骤

    本文主要介绍了Nginx虚拟主机的搭建的实现步骤,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2022-01-01
  • Nginx如何实现pathinfo模式的方法详解

    Nginx如何实现pathinfo模式的方法详解

    pathinfo是伪静态的一种,对于用过thinkphp的朋友们来说应该都不陌生,下面这篇文章主要给大家介绍了关于Nginx如何实现pathinfo模式的方法,文中通过示例代码介绍的非常详细,需要的朋友可以参考下。
    2017-09-09
  • 解决国内k8s的ingress-nginx镜像无法正常pull拉取问题

    解决国内k8s的ingress-nginx镜像无法正常pull拉取问题

    本文主要介绍了解决国内k8s的ingress-nginx镜像无法正常pull拉取问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2022-03-03
  • nginx中root和alias指令的使用

    nginx中root和alias指令的使用

    这篇文章主要介绍了nginx中root和alias指令的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2024-08-08
  • Nginx如何限制IP访问只允许特定域名访问

    Nginx如何限制IP访问只允许特定域名访问

    我们在使用的时候会遇到很多的恶意IP攻击,这个时候就要用到Nginx 禁止IP访问了,下面这篇文章主要给大家介绍了关于Nginx如何限制IP访问只允许特定域名访问的相关资料,需要的朋友可以参考下
    2022-07-07
  • nginx实现单主机多域名映射的项目实践

    nginx实现单主机多域名映射的项目实践

    本文主要介绍了nginx实现单主机多域名映射的项目实践,配置不同的子域名映射到不同的内部服务端口,具有一定的参考价值,感兴趣的可以了解一下
    2025-02-02
  • nginx中封禁ip和允许内网ip访问的实现示例

    nginx中封禁ip和允许内网ip访问的实现示例

    Nginx不仅仅只是一款反向代理和负载均衡服务器,本文主要介绍了nginx中封禁ip和允许内网ip访问的实现示例,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

    2022-03-03
  • Nginx禁止访问php文件的方法总结

    Nginx禁止访问php文件的方法总结

    当涉及到禁止访问 PHP 文件时,有多种方法可以考虑,以下是十多种方法的详细说明,以及如何在 Nginx 中应用它们,需要的朋友可以参考下
    2023-09-09
  • nginx带宽限制 limit_rate limit_rate_after指令

    nginx带宽限制 limit_rate limit_rate_after指令

    这篇文章主要为大家介绍了nginx带宽限制 limit_rate limit_rate_after指令详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-04-04

最新评论