1、设置容器
docker run -it --name nginx-test2 -v /home/nginx:/apps -v /home/nginx/conf/nginx.conf:/etc/nginx/nginx.conf:ro -p 8183:80 -p 7443:443 -d nginx:stable
2、修改nginx配置文件
启用ssl证书
ssl on;
ssl_certificate /apps/ssl/server.crt;
ssl_certificate_key /apps/ssl/server.key;
ssl_client_certificate /apps/ssl/ca.crt; #CA证书用于验证客户端证书的合法性
ssl_verify_client on; #开启对客户端的验证
3、生成服务端证书
自制CA,已经存在
生成server端证书
1. 进入key文件夹
cd key/
2. 生成server私钥
openssl genrsa -out server.key 2048
--去掉格式
openssl genrsa -out server.key 2048
3. 使用server私钥生成server端证书请求文件
openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=Teamsun/OU=guoxu/CN=guoxu"
(没有-x509选项则生成证书请求文件。)
4. 使用server证书请求文件通过CA生成自签名证书
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
注意如果是IP,需要用这个
openssl ca -in server.csr -out server.crt -cert cloud_ca.crt -keyfile cloud_ca.key -extensions v3_req -notext -config openssl.cnf
5. 验证server证书
gouxu@gouxu-pc:~/gx/key$ openssl verify -Cafile ca.crt server.crt
server.crt: OK
gouxu@gouxu-pc:~/gx/key$
验证服务端证书
openssl s_server -accept 10001 -key server.key -cert server.crt
nginx具体的配置项具体请参考
http://nginx.org/en/docs/http/ngx_http_ssl_module.html#example
6、生成客户端证书
生成客户端私钥
openssl genrsa -out client.key 2048
生成证书请求文件
openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=fj/L=fz/O=landicorp/OU=landicorp/CN=apos"
生成签名证书
openssl ca -in client.csr -out client.crt -cert CA/ca.crt -keyfile CA/ca.key -extensions v3_req -notext -config openssl.cnf
转成p12格式的证书
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
网友评论