如果读者以前做过web开发的话,就应该知道如何去搭建一个web服务器来跑你的web站点,在windows下你可能会选择去用IIS,网站空间,十分的快捷,在linux下,美国空间,你可能首先会想到apache,“一哥”(W3Techs网站数据的排名)啦
根据配置文件的需求创建相关的文件夹和文件
#mkdircertscrlnewcerts
#touchindex.txtserial
#echo01>>serial//初始化文件
创建私钥
#opensslgenrsa1024>private/cakey.pem
#chmod600private/cakey.pem
生成证书文件
Step2:建立Nginx的安全目录,并生成相关的私钥和证书文件
#mkdir/usr/local/nginx/certs
#cd/usr/local/nginx/certs/
#opensslgenrsa1024>nginx.key
#chmod600nginx.key
因为小编的这台服务器即作为CA又作为web服务器,所以可以证书申请的过程可以直接在本机做
生成证书
Step3:修改nginx的配置文件,添加用于安全访问的站点
server{
listen192.168.111.10:443;
server_name;
sslon;
ssl_certificate/usr/local/nginx/certs/nginx.cert;
ssl_certificate_key/usr/local/nginx/certs/nginx.key;
ssl_session_timeout5m;
access_log/var/log/nginx/access.log;
error_log/var/log/nginx/error.log;
ssl_protocolsSSLv2SSLv3TLSv1;
ssl_ciphersHIGH:!aNULL:!MD5;
ssl_prefer_server_cipherson;
location/{
roothtml;
indexindex.htmlindex.htm;
}
}
Step4:重启nginx服务,修改客户机的hosts文件并访问
#pkillnginx
#/usr/local/nginx/sbin/nginx&
修改hosts文件
192.168.111.10
当首次访问的时候会提示风险
既然没有一个可信任的机构来承认这个证书,那么小编就给一个机构呗,还记得小编最初给这台服务器生成的CA证书吗,web网站的证书就是这个CA发的,如果客户端信任这个CA了,那不就信任web的证书了么,那么就来实现吧,原理是使用证书链,在发送web证书的时候附带将其上级的证书带过去
Step5:修改web的证书,将CA的证书内容加进去,但是要注意加的顺序,web证书的内容在前,CA证书在后
#cp/etc/pki/CA/cacert.pem/usr/local/nginx/certs
#cd/usr/local/nginx/certs/
#catcacert.pem>>nginx.cert
重启ngnix服务是必须的
#pkillnginx
#/usr/local/nginx/sbin/nginx&
客户端访问试试
继续
继续
GOON
点击“是”
关闭浏览器重新打开试试
好啦,小编要实现的几项已近完成了,当然这只是一些简单的应用,在后面的博文中小编将会介绍如何搭建”LNMP”,敬请关注哈。。。。。
本文出自 “90後噭凊陽洸” 博客,请务必保留此出处
寂寞时,想想我的影子,我会在远方给你一个微笑;难过时,