一、需求分析
我们公司测试环境,域名更换,原来的*.dev.devbao.cn 变为 *.dev.vdai.cn ,此处的*表示多个二级域名,导致原来为dev.devbao.cn制作的ssl证书无法使用,需要重新生成。想着是内网服务器,仅供内部测试环境用,所以决定自己制作一个泛解析的ssl证书足矣
此处环境:两台服务器,系统:centos7
CA服务器:192.168.1.75 对应的主机名:tianfen.devdai.cn
nginx服务器:192.168.1.10 多个站点: *.dev.vdai.cn
二、准备证书
一)在CA服务器上操作
0. 前期准备工作
cd ~/ mkdir ssl cd ssl mkdir demoCA cd demoCA mkdir newcerts mkdir private touch index.txt echo '01' > serial
1. 制件 CA 证书
生成 CA 私钥: ca.key
openssl genrsa -des3 -out ca.key 2048
这样是生成 rsa 私钥,`des3` 算法,openssl 格式,2048 位强度。`ca.key` 是密钥文件名。为了生成这样的密钥,需要一个至少四位的密码。另外可以通过以下方法生成没有密码的key:
openssl rsa -in ca.key -out ca_decrypted.key
生成 CA 根证书的公钥 ca.crt:
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
二)在nginx服务器 --------- 制作网站的 https 证书,并用 CA 签名认证
记住:我们是需要为 *.dev.vdai.cn 颁发ssl证书
先生成 的证书私钥 host.pem
openssl genrsa -des3 -out host.pem 1024
无密码的私钥
openssl rsa -in host.pem -out host.key
生成 csr 签名请求
openssl req -new -key host.pem -out host.csr
这里需要输入国家,地区,组织,email等。最重要的是 **common name**,可以写你的名字或者域名。如果为了 https 申请,这个必须和域名一样,比如是test.dev.vdai.cn的话,这里要写 test.dev.vdai.cn,否则会引发浏览器警报,这里可以写为 *.dev.vdai.cn 来做泛域名证书。切记:不能写成*.vdai.cn
到此为止,nginx客户端的证书请求,已经制作好了,把host.csr拷贝到CA服务器
scp host.csr 192.168.1.75:/root/ssl/demoCA/
最后,切换到CA服务器, CA 证书进行签名
openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in host.csr -out host.crt
这样网站的 https 证书就做完了。
还有一步就是把 ca.crt 的内容追加到 host.crt 后面,因为有些浏览似乎不支持。
cat ca.crt >> host.crt
证书签署完成以后:
1.拷贝host.crt到nginx服务器
nginx 配置
加入配置内容:
例如:test.dev.vdai.cn
server { listen 443; server_name test.dev.vdai.cn; root html; index index.html index.htm; ssl on; ssl_certificate /PATH/TO/host.crt; ---写host.crt对应的路径 ssl_certificate_key /PATH/TO/host.key; ---写host.key对应的路径
ssl_session_timeout 5m; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES"; ssl_prefer_server_ciphers on; location / { try_files $uri $uri/ =404; } }
2.把ca.crt证书导入到浏览器,(选择受信任的根证书颁发机构)
3.测试效果