1、首先需要安装openssl,一个开源的实现加解密和证书的专业系统。在centos下可以利用yum安装。
2、openssl的配置文件是openssl.cnf,我们一般就是用默认配置就可以。如果证书有特殊要求的话,可以修改配置适应需求。这样必须把相关的文件放到配置文件指定的目录下
3、首先需要利用openssl生成根证书,以后的服务器端证书或者客户端证书都用他来签发,可以建立多个根证书,就像对应不同的公司一样
#生成根证书的私钥
cd /etc/pki/CA
openssl genrsa -out ca.key
#利用私钥生成一个根证书的申请,一般证书的申请格式都是csr。所以私钥和csr一般需要保存好
openssl req -new -key ca.key -out ca.csr
#自签名的方式签发我们之前的申请的证书,生成的证书为ca.crt
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt
#为我们的证书建立第一个序列号,一般都是用4个字符,这个不影响之后的证书颁发等操作
echo FACE > serial
#建立ca的证书库,不影响后面的操作,默认配置文件里也有存储的地方
touch index.txt
#建立服务器验证证书的私钥
openssl genrsa -out server.key
#生成证书申请文件
openssl req -new -key server.key -out server.csr
#利用根证书签发服务器身份验证证书
openssl ca -in server.csr -cert ca.crt -keyfile ca.key -out server.crt
#nginx配置SSL证书
ssl_certificate ssl/server.crt;
ssl_certificate_key ssl/server.key;