证书私钥 key

这个文件要保密

openssl genrsa -out ca.key 4096

证书请求文件 csr (Cerificate Signing Request)

这个里面记录的有申请的国家,省,市,域名等等信息

openssl req -new -key ca.key -out ca.csr

扩展属性

有了这个属性,就成v3 版本的证书了,这个chrome就不会提示证书无效了。

单域名

echo "subjectAltName=DNS:www.baidu.com" > cert_extensions

单域名或者ip

echo "subjectAltName=DNS:www.baidu.com,IP:192.168.100.83" > cert_extensions

多域名

echo "subjectAltName=DNS.1:www.baidu.com,DNS.2:b2.baidu.com.com,DNS.3:b3.baidu.com" > cert_extensions

crt (Certificate)

openssl x509 -req -sha256 -in ca.csr -signkey ca.key -extfile cert_extensions -out ca.crt -days 3650

pfx

PFX也称为PKCS#12(Public Key Cryptography Standards #12),常见的扩展名是: .pfx 和 .p12

openssl pkcs12 -inkey ca.key -in ca.crt -export -out ca.pfx

导入系统

windows

开始--运行--certmgr.msc 或者控制面板里面搜索证书,选用户证书--受信任的根证书机构--右键--导入--选择crt或者pfx文件,导入。

导入nginx

server {
    listen       80;
    listen       443 ssl http2;
    ssl_certificate ssl/yinux.crt;
    ssl_certificate_key ssl/yinux.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    ssl_prefer_server_ciphers on;
    ssl_session_timeout 10m;
    ssl_session_cache builtin:1000 shared:SSL:10m;
    ssl_buffer_size 1400;
    add_header Strict-Transport-Security max-age=15768000;
    ssl_stapling on;
    ssl_stapling_verify on;
    server_name  api.yinux.top;
    root   D:\code\sdorder\api-next\public;
    location / {
        index  index.php index.html index.htm;
        if (!-e $request_filename) {
            rewrite ^/(.*)$ /index.php?s=$1 last;
        }
    }
    location ~ \.php$ {
        fastcgi_pass   127.0.0.1:9005;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }

} 

这样生成的证书,chrome,ie 能正常工作,因为他们都是看系统的这个受信任的根证书机构,火狐有自己独立的证书体系。不识别自己签发的证书。


本文由 yang 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

楼主残忍的关闭了评论