1. 使用 OpenSSL 生成 HTTPS 证书

1.1. 在 Linux 上生成

1.1.1. 一条命令生成

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365 -nodes -subj "/C=US/ST=Oregon/L=Portland/O=Company Name/OU=Org/CN=www.example.com"

b3BlbnNzbCByZXEgLXg1MDkgLW5ld2tleSByc2E6NDA5NiAta2V5b3V0IGtleS5wZW0gLW91dCBjZXJ0LnBlbSAtc2hhMjU2IC1kYXlzIDM2NTAgLW5vZGVzIC1zdWJqICIvQz1VUy9TVD1DYWxpZm9ybmlhL0w9TW9ucm92aWEvTz1RdWFudGlsIE5ldHdvcmtzIEluYy4vT1U9R292L0NOPXd3dy5jaGluYS1lbWJhc3N5Lm9yZyI=

参考自这里

1.1.2. 使用配置文件生成

1.生成 HTTPS 证书思路

我们首先要生成证书颁发机构的根证书, 然后再用此证书去签发网站证书.

由于生成过程中需要输入非常多的参数, 像网站域名等, 而且不能输错, 输错不能用删除号回退, 因此我们在这里使用官方的配置文件.

由于我们需要生成 2 次, 第 1 次是生成根证书, 第 2 次是利用生成的根证书生成网站证书, 因此我们需要复制 2 份配置文件:

$ cp /usr/lib/ssl/openssl.cnf ca.cnf ia.cnf

找不到 openssl.cnf 的话, 可以使用 find 命令查找: $ find / -name openssl.cnf

2.编辑根证书配置文件 ca.cnf

默认情况下, 有些没有 _default 的需要自己加上。

countryName			= Country Name (2 letter code)
countryName_default		= CN

stateOrProvinceName		= State or Province Name (full name)
stateOrProvinceName_default	= Shanghai

localityName			= Locality Name (eg, city)
localityName_default	= Shanghai

0.organizationName		= Organization Name (eg, company)
0.organizationName_default	= Lenovo

organizationalUnitName		= Organizational Unit Name (eg, section)
organizationalUnitName_default	= Technology

commonName			= Common Name (e.g. server FQDN or YOUR name)
commonName_default	= lenovo.com.cn

emailAddress			= Email Address
emailAddress_default	= [email protected]

3.编辑网站证书配置文件 ia.cnf

countryName			= Country Name (2 letter code)
countryName_default		= CN

stateOrProvinceName		= State or Province Name (full name)
stateOrProvinceName_default	= Shanghai

localityName			= Locality Name (eg, city)
localityName_default	= Shanghai

0.organizationName		= Organization Name (eg, company)
0.organizationName_default	= Lenovo

organizationalUnitName		= Organizational Unit Name (eg, section)
organizationalUnitName_default	= Technology

commonName			= Common Name (e.g. server FQDN or YOUR name)
commonName_default	= report.lenovo.com.cn

emailAddress			= Email Address
emailAddress_default	= [email protected]

备注: ca.cnf 和 ia.cnf 中的 commonName_default 不能一样, 否则 Windows 下不能安装证书, 即会授权失败. 我们这里根证书里面的是 lenovo.com.cn, 网站证书是 report.lenovo.com.cn, 两个是不一样的域名.

4.使用 OpenSSL 生成 CA 证书

CA, Certificate Authority, 即 电子商务认证授权机构.

生成 ca 的 key:

$ openssl genrsa -out ca.key 4096

生成 ca 的根证书:

$ openssl req -new -x509 -days 1826 -key ca.key -out ca.crt -config ca.cnf

5.利用 ca 根证书授权子证书

生成子证书的 key

$ openssl genrsa -out ia.key 4096

根据 key 生成 csr

$ openssl req -new -key ia.key -out ia.csr

生成授权子证书

$ openssl x509 -req -days 730 -in ia.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out ia.crt -config ca.cnf

期间会提示输入密码, 留空即可.

生成 PKCS12 证书

$ openssl pkcs12 -export -out ia.p12 -inkey ia.key -in ia.crt -chain -CAfile ca.crt

生成后, 我们需要的文件有:

• ca.crt: CA 根证书, 这个证书我们需要在 Windows 安装
• ca.key: CA 根证书的 key 文件, 不需要
• ia.crt: 网站证书, 用于 Nginx 配置
• ia.key: 网站证书的 key 文件, 用于 Nginx 配置

1.2. 在 Windows 上生成

Windows 上可以使用软件 xca, 下载地址: http://xca.hohnstaedt.de/

1.3. 使用案例

1.3.1. Nginx 配置 HTTPS 访问

首先在 default 配置文件中添加如下:

server {
	listen 443 default_server;
	listen [::]:443 default_server;

  server_name report.lenovo.com.cn;

  ssl on;
  ssl_certificate     /home/ubuntu/openssl/ia.crt;
  ssl_certificate_key /home/ubuntu/openssl/ia.key;

  root /var/www/report.lenovo.com.cn;
  index index.html;
	
	location / {
		try_files $uri $uri/ =404;
	}

}

Nginx 命令:

$ nginx -t           # 测试 nginx 配置是否正确
$ nginx -s reload    # 重启 nginx

1.3.2. Windows XP 下的测试

首先需要安装 CA 证书, 双击 ca.crt 再点击里面的 安装证书, 证书分类选择 受信任的根证书颁发机构.

安装证书成功后, 我们可以发现双击打开 ca.crt 和 ia.crt 提示证书都是安全的(绿色), 没有红色的 X 号和感叹号之类的.

发给其它机器安装时只需要发送 ca.crt 就可以了.

IE 浏览器太差了, 我们使用 Chrome 来测试, 我们选择 Chrome 最后支持 XP 的版本: Chrome 49.0.2623.75

经测试, 高版本的 Chrome 即使安装了 ca.crt 证书也会报 HTTPS 证书错误(Common Name错误), 所以为了测试顺利还是用这个版本吧.

然后打开 Chrome 访问 https://report.lenovo.com.cn/, 会看到网址前面加上了绿绿的安全符号, 成功了!

如果想删除已经安装的证书, 可以在运行中输入 certmgr.msc 来管理已经安装的证书.

1.4. 参考

• openssl