自己的SSL证书签发工具

又到了自己造轮子的季节。

现在部署网站都要上https了吧，不过去购买授权的SSL证书太贵。一年基本要好一两千。而且如果要上通配符的形式的话，价格就更贵了。如果只是自己部署的工具站点的话，完全没有必要。
当然，现有有一些提供了免费的SSL证书的网站，比如Let’s Encrypt - Free SSL/TLS Certificates。不过，这个工具使用是貌似需要服务器能够从外网访问，而且需要经常性的更新。（第一个问题比较致命，我的服务器是放在学校的教育网的，学校封锁了外部进入的流量，导致Let's Encrypt没法用）。
因此我这次自己做了一个轮子，可以方便的生成自己的证书系统。虽然想要拿去做公开站点比较麻烦（主要是浏览器会WARNING），但是用于自己用的工具站点来说还是相当够用的。
工程地址在GitHub - huangy10/quick-ca-signer: Tool to create your own ssl certificate。

安装方法

将工程clone下来，然后进入工程目录，运行

sudo su
apt-get update
apt-get install openssl
./install.sh -l

简单使用场景

假设你需要为域名youdomain.com上https，那么顺序执行下面的指令就可以了

$ woodyssl -c -subj "/C=CN/ST=Beijing/L=Beijing/O=Tsinghua/CN=Vlion Club"
$ woodyssl -c -d yourdomain.com
$ woodyssl -l
yourdomain.com
$ woodyssl -d yourdomain.com -e path/to/export/certficates

第一行命令会创建你自己的根证书。并且记录一些描述性的信息，"/C=CN/ST=Beijing/L=Beijing/O=Tsinghua/CN=Vlion Club"中，/C代表国家，/ST代表省份，/L代表城市，/O代表组织名称，/CN达标常用名。你可以替换成你需要的值。程序会将证书相关内容放在~/.woodyssl下。
第二行命令会为域名创建证书
第三行命令列出现在创建了证书的域名
第四行将站点证书导出到一个文件夹中。之后你就可以在nginx中使用这些证书了。
（更多的命令运行woodyssl -h查看吧）

将根证书加入本机的信任列表来关闭浏览器的警告信息

先在主流的浏览器对于非权威机构的根证书都会弹出警告，部分甚至会禁止用户访问（某果的某Safari）。为了避免这些问题你需要将根证书加入本机的信任列表。
使用下面的命令导出根证书

$ woodyssl -e path/to/export/root-ca

导出的文件包含root-ca.crt和root-ca.key，其中前者是证书文件，后者是秘钥。具体的本机添加新任列表请读者自行GOOGLE一下，这里就不赘述了。

补充

这里给出一个nginx的https配置参考

server {
        listen 80;

        server_name yourdomain.com;
        error_log /absolute/path/to/error.log;
        access_log /absolute/path/to/access.log;
        location / {
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_pass http://localhost:8080;
        }

        client_max_body_size 50m;
  
        listen 443 ssl;
        # SSL
        ssl_certificate /path/to/yourdomain.com.crt;
        ssl_certificate_key /path/to/yourdomain.key;

        # Recommendations from https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html
        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;

        chunked_transfer_encoding on;

        if ($scheme != "https") {
            return 301 https://$host$request_uri;
        }
}