美文网首页Linux Geek程序员
自己的SSL证书签发工具

自己的SSL证书签发工具

作者: 治部少辅 | 来源:发表于2018-01-06 16:39 被阅读158次

    又到了自己造轮子的季节。


    现在部署网站都要上https了吧,不过去购买授权的SSL证书太贵。一年基本要好一两千。而且如果要上通配符的形式的话,价格就更贵了。如果只是自己部署的工具站点的话,完全没有必要。
    当然,现有有一些提供了免费的SSL证书的网站,比如Let’s Encrypt - Free SSL/TLS Certificates。不过,这个工具使用是貌似需要服务器能够从外网访问,而且需要经常性的更新。(第一个问题比较致命,我的服务器是放在学校的教育网的,学校封锁了外部进入的流量,导致Let's Encrypt没法用)。
    因此我这次自己做了一个轮子,可以方便的生成自己的证书系统。虽然想要拿去做公开站点比较麻烦(主要是浏览器会WARNING),但是用于自己用的工具站点来说还是相当够用的。
    工程地址在GitHub - huangy10/quick-ca-signer: Tool to create your own ssl certificate

    安装方法

    将工程clone下来,然后进入工程目录,运行

    sudo su
    apt-get update
    apt-get install openssl
    ./install.sh -l
    

    简单使用场景

    假设你需要为域名youdomain.com上https,那么顺序执行下面的指令就可以了

    $ woodyssl -c -subj "/C=CN/ST=Beijing/L=Beijing/O=Tsinghua/CN=Vlion Club"
    $ woodyssl -c -d yourdomain.com
    $ woodyssl -l
    yourdomain.com
    $ woodyssl -d yourdomain.com -e path/to/export/certficates
    

    第一行命令会创建你自己的根证书。并且记录一些描述性的信息,"/C=CN/ST=Beijing/L=Beijing/O=Tsinghua/CN=Vlion Club"中,/C代表国家,/ST代表省份,/L代表城市,/O代表组织名称,/CN达标常用名。你可以替换成你需要的值。程序会将证书相关内容放在~/.woodyssl下。
    第二行命令会为域名创建证书
    第三行命令列出现在创建了证书的域名
    第四行将站点证书导出到一个文件夹中。之后你就可以在nginx中使用这些证书了。
    (更多的命令运行woodyssl -h查看吧)

    将根证书加入本机的信任列表来关闭浏览器的警告信息

    先在主流的浏览器对于非权威机构的根证书都会弹出警告,部分甚至会禁止用户访问(某果的某Safari)。为了避免这些问题你需要将根证书加入本机的信任列表。
    使用下面的命令导出根证书

    $ woodyssl -e path/to/export/root-ca
    

    导出的文件包含root-ca.crtroot-ca.key,其中前者是证书文件,后者是秘钥。具体的本机添加新任列表请读者自行GOOGLE一下,这里就不赘述了。

    补充

    这里给出一个nginx的https配置参考

    server {
            listen 80;
    
            server_name yourdomain.com;
            error_log /absolute/path/to/error.log;
            access_log /absolute/path/to/access.log;
            location / {
                    proxy_set_header Host $host;
                    proxy_set_header X-Real-IP $remote_addr;
                    proxy_set_header X-Forwarded-Proto $scheme;
                    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                    proxy_pass http://localhost:8080;
            }
    
            client_max_body_size 50m;
      
            listen 443 ssl;
            # SSL
            ssl_certificate /path/to/yourdomain.com.crt;
            ssl_certificate_key /path/to/yourdomain.key;
    
            # Recommendations from https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html
            ssl_protocols TLSv1.1 TLSv1.2;
            ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
            ssl_prefer_server_ciphers on;
            ssl_session_cache shared:SSL:10m;
    
            chunked_transfer_encoding on;
    
            if ($scheme != "https") {
                return 301 https://$host$request_uri;
            }
    } 
    

    相关文章

      网友评论

      • 更改中_81b8:我直接在https://www.sslzhengshu.com 买了一个,280元一年。懒的每三个月重新申请并重启nginx
        治部少辅:如果用Let's Encrypt的话是可以自动更新的。我要自己签发证书是因为我的公网IP的低1024端口被封禁了。

      本文标题:自己的SSL证书签发工具

      本文链接:https://www.haomeiwen.com/subject/lobynxtx.html