1、首先需要安裝openssl,一個開源的實作加解密和證書的專業系統。在centos下可以利用yum安裝。
2、openssl的配置檔案是openssl.cnf,我們一般就是用預設配置就可以。如果證書有特殊要求的話,可以修改配置适應需求。這樣必須把相關的檔案放到配置檔案指定的目錄下
3、首先需要利用openssl生成根證書,以後的伺服器端證書或者用戶端證書都用他來簽發,可以建立多個根證書,就像對應不同的公司一樣
#生成根證書的私鑰
cd /etc/pki/CA
openssl genrsa -out ca.key
#利用私鑰生成一個根證書的申請,一般證書的申請格式都是csr。是以私鑰和csr一般需要儲存好
openssl req -new -key ca.key -out ca.csr
#自簽名的方式簽發我們之前的申請的證書,生成的證書為ca.crt
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt
#為我們的證書建立第一個序列号,一般都是用4個字元,這個不影響之後的證書頒發等操作
echo FACE > serial
#建立ca的證書庫,不影響後面的操作,預設配置檔案裡也有存儲的地方
touch index.txt
#建立伺服器驗證證書的私鑰
openssl genrsa -out server.key
#生成證書申請檔案
openssl req -new -key server.key -out server.csr
#利用根證書簽發伺服器身份驗證證書
openssl ca -in server.csr -cert ca.crt -keyfile ca.key -out server.crt
#nginx配置SSL證書
ssl_certificate ssl/server.crt;
ssl_certificate_key ssl/server.key;