Https SSL证书配置
Https 自定义SSL证书配置 – 通过Nginx代理
前提:
1. 安装 openSSL,注册环境变量;(生成证书用)
2. 安装 Nginx 服务;
ps: 建议在新文件夹下运行openSSL,生成的相关文件容易找到;
一. 生成SSL证书(模拟CA机构方式)
1. 生成 CA 的私钥ca.key和自签名证书ca.crt:
openssl req -x509 -nodes -days 365000 -newkey rsa:2048 -subj "/C=CN/ST=guangdong/L=shenzhen/O=DAS" -keyout ca.key -out ca.crt -reqexts v3_req -extensions v3_ca
2. 生成服务器证书请求文件server.key:
openssl genrsa -out server.key 2048
3. 生成服务器证书请求文件 server.csr:
openssl req -new -key server.key -subj "/C=CN/ST=guangdong/L=shenzhen/O=DAS/CN=www.example.com" -sha256 -out server.csr
4. 新建 private.ext 文件(让证书可以关联多个受信任域名或者IP)
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = san
extensions = san
[ req_distinguished_name ]
countryName = CN
stateOrProvinceName = Definesys
localityName = Definesys
organizationName = Definesys
[SAN]
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
#DNS.x: 绑定域名
#DNS.1 = www.example.com
#DNS.2 = www.example.net
#IP.x: 绑定IP
IP.1 = 192.168.2.5
#IP.2 = 192.168.2.4
5. 生成服务器证书文件 server.crt:
openssl x509 -req -days 365000 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -sha256 -out server.crt -extfile private.ext -extensions SAN
PS: 验证生成的证书(:
# 这个命令会显示证书的详细信息,包括颁发者、有效期、公钥等
openssl x509 -in server.crt -text -noout
二. 修改 Nginx 配置 SSL 证书
1. 修改./nginx/conf/nginx.conf 文件
http{
...
#======这里实现通过 https://ip:9988/xxx -> 访问内部http://ip:9999/xxx 地址======
server {
listen 9988 ssl;#https 对外开放端口
server_name localhost;
#ssl配置
ssl_certificate D:\openSSL\server.crt;# 证书文件路径
ssl_certificate_key D:\openSSL\server.key;# 私钥文件路径
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m; # ssl会话信息保留时间
ssl_ciphers HIGH:!aNULL:!MD5;# 指定加密套件
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 仅启用安全的 TLS 版本
ssl_prefer_server_ciphers on;# 优先使用服务器端的加密套件
#重定向所有9988端口请求
location / {
proxy_pass http://192.168.2.5:9999;
proxy_redirect http:// https://;#防止重定向变回http
proxy_set_header Referer $http_referer;##++
proxy_set_header Host $host:9988;#防止重定向端口丢失
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
}