標籤:格式 learning 用戶端訪問 重要 not basic 根據 letter org
前一篇隨筆通過keytool產生keystore並為tomcat配置https,這篇隨筆記錄如何給nginx配置https。如果nginx已配置https,則tomcat就不需要再配置https了。
通過以下三步產生自我簽署憑證
# 產生一個key,你的私密金鑰,openssl會提示你輸入一個密碼,可以輸入,也可以不輸,
# 輸入的話,以後每次使用這個key的時候都要輸入密碼,安全起見,還是應該有一個密碼保護
> openssl genrsa -des3 -out selfsign.key 4096
# 使用上面產生的key,產生一個certificate signing request (CSR)
# 如果你的key有密碼保護,openssl首先會詢問你的密碼,然後詢問你一系列問題,
# 其中Common Name(CN)是最重要的,它代表你的認證要代表的目標,如果你為網站申請的認證,就要添你的網域名稱。
> openssl req -new -key selfsign.key -out selfsign.csr
# 產生Self Signed認證 selfsign.crt就是我們產生的認證了
> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt
nginx配置https簡單,用nginx中ssl模組即可添加配置如下:
#https預設連接埠是443,不是80
listen 443;
#為一個server開啟ssl支援
ssl on;
#為虛擬機器主機指定pem格式的認證檔案
#ssl_certificate D:/keys/selfsign.crt;
#為虛擬機器主機指定私密金鑰檔案
#ssl_certificate_key D:/keys/selfsign.key;
通過以上即可通過瀏覽器訪問443連接埠了,這時瀏覽器提示認證無效,繼續訪問即可。
如果使用自己自己的用戶端訪問則提示認證無效,需要把認證資訊添加到用戶端中,同時需要在產生認證的時候添加SAN資訊。
產生認證如下:
1、認證組建組態檔案san.conf如下:
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = SiChuan
localityName = Locality Name (eg, city)
localityName_default = ChengDu
organizationName = Organization Name (eg, company)
organizationName_default = xxxxx Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = xxxxxxx
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = *.xxxx.com
commonName_max = 64
[v3_req]
basicConstraints = CA:TRUE
subjectAltName = @alt_names
[alt_names]
#根據需要可以添加多個,我在測試時使用內網IP,一直提示hostname not verified ,後來在這裡添加了自己的ip就可以了
IP.1 = 192.168.140.11
IP.2 = 192.168.140.12
DNS.1 = www.xxxx.com
產生認證指令:
# 產生 CA 的 RSA 金鑰組
openssl genrsa -des3 -out selfsign.key 4096
# 自簽發 CA 憑證
openssl req -new -x509 -days 365 -key selfsign.key -out selfsign.crt -extensions v3_req -config san.cnf
# 查看認證內容
openssl x509 -in selfsign.crt -noout -text
android用戶端訪問https樣本使用了okhttp架構,webview訪問https服務。地址:http://code.taobao.org/svn/learningtips/AndroidHttpsTest
nginx配置https及Android用戶端訪問自我簽署憑證
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
