查看GNU/Linux Tips的源代码
←
GNU/Linux Tips
跳转到:
导航
,
搜索
因为以下原因,你没有权限编辑本页:
您刚才请求的操作只有这个用户组中的用户才能使用:
用户
您可以查看并复制此页面的源代码:
== HTTPS 自有数字证书的生成 == HTTPS 网站所用的证书可向可信 CA 机构申请,不过这一类基本上都是商业机构,申请证书需要缴费,一般是按年缴费,费用因为 CA 机构的不同而不同。低成本应用可以使用 openssl 工具生成自签发的数字证书,可以节约费用,不过得妥善保护好证书私钥,不能泄露或者丢失。HTTPS 通信所用的数字证书格式为 X.509。 自签发数字证书步骤如下: === 生成自己的 CA 根证书 === <source lang=bash> # 生成CA私钥文件ca.key: $ openssl genrsa -out ca_private.key 1024 # 生成X.509证书签名请求文件ca.csr: $ openssl req -new -key ca_private.key -out ca.csr # 在生成ca.csr的过程中,会让输入一些组织信息等。 # 生成X.509格式的CA根证书ca_public.crt(公钥证书): $ openssl x509 -req -in ca.csr -signkey ca_private.key -out ca_public.crt </source> <br> === 生成服务端证书 === <source lang=bash> # 先生成服务器私钥文件server_private.key: $ openssl genrsa -out server_private.key 1024 # 根据服务器私钥生成服务器公钥文件server_public.pem: $ openssl rsa -in server_private.key -pubout -out server_public.pem # 服务器端需要向CA机构申请签名证书,在申请签名证书之前依然是创建自己的证书签名请求文件server.csr: $ openssl req -new -key server_prviate.key -out server.csr # 对于用于HTTPS的CSR,Common Name必须和网站域名一致,以便之后进行Host Name校验。 # 服务器端用server.csr文件向CA申请证书,签名过程需要CA的公钥证书和私钥参与,最终颁发一个带有CA签名的服务器端证书server.crt: $ openssl x509 -req -CA ca_public.crt -CAkey ca_private.key -CAcreateserial -in server.csr -out server.crt # 如果服务器端还想校验客户端的证书,可以按生成服务器端证书的形式来生成客户端证书。 # 使用openssl查看证书信息: $ openssl x509 -in server.crt -text -noout </source> 服务器配置,指定两个文件即可: * ssl_certificate = server.crt * ssl_private_key = server_private.key <br>
返回到
GNU/Linux Tips
。
个人工具
登录
名字空间
页面
讨论
变换
查看
阅读
查看源代码
查看历史
操作
搜索
导航
首页
社区专页
新闻动态
最近更改
随机页面
帮助
工具箱
链入页面
相关更改
特殊页面