当前位置:首页 > 技术 > 正文内容

Nginx配置SSL证书及浏览器信任设置

访客 技术 2026年7月18日 1
  • 1.证书生成流程
  • 1.1 自签名证书生成
  • 1.2 CA机构模拟证书生成
  • 2 Nginx配置调整
  • 3 本地证书信任配置

1.证书生成流程

1.1 自签名证书生成

通过OpenSSL工具生成基础密钥对:

# 生成私钥
openssl genrsa -out private_key.pem 2048

# 创建证书请求
openssl req -new -key private_key.pem -out cert_request.csr \
  -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=Company/CN=example.com"

# 生成自签名证书
openssl x509 -req -in cert_request.csr -signkey private_key.pem -out certificate.pem -days 36500

生成后需保留private_key.pem和certificate.pem文件

1.2 CA机构模拟证书生成

创建CA根证书及服务器证书的完整流程:

# 生成CA私钥与根证书
openssl req -x509 -nodes -days 36500 -newkey rsa:2048 \
  -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=CA" \
  -keyout ca_private.key -out ca_certificate.crt

# 生成服务器密钥
openssl genrsa -out server_private.pem 2048

# 创建证书请求
openssl req -new -key server_private.pem -out server_csr.csr \
  -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=Server/CN=example.com"

# 配置扩展文件
cat > extension.conf <<EOF
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = san

[ req_distinguished_name ]
countryName = CN
stateOrProvinceName = Guangdong
localityName = Shenzhen
organizationName = Server

[san]
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = backup.example.com
IP.1 = 192.168.1.100
EOF

# 生成带扩展的证书
openssl x509 -req -days 36500 -in server_csr.csr \
  -CA ca_certificate.crt -CAkey ca_private.key -CAcreateserial \
  -extfile extension.conf -extensions san -out server_certificate.pem

2 Nginx配置调整

server {
    listen 80;
    server_name example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /path/to/server_certificate.pem;
    ssl_certificate_key /path/to/server_private.pem;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    client_max_body_size 100m;
}

3 本地证书信任配置

通过系统证书管理工具导入CA证书:

  1. 双击ca_certificate.crt文件
  2. 选择"安装证书"向导
  3. 将证书存储到"受信任的根证书颁发机构"

完成配置后,浏览器将识别该证书为可信来源

标签: NginxSSL/TLS

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Dom\HTML_NO_DEFAULT_NS 的副作用:自动加闭合标签

在使用Dom\HTMLDocument时,Dom\HTML_NO_DEFAULT_NS 将禁止在解析过程中设置元素的命名空间, 此设置是为了与DOMDocument向后兼容而存在的。当使用它时,已知的一个副作用就是:自动加闭合标签例如 </img> 为什么会这样?当你使用:Dom\HTML_NO_DEFAULT_NS文档会变成 无命名空间模式,此时内部更接近 XML...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。