Centos7+Nginx通过windows CA颁发及配置SSL服务
来源:互联网 发布:2009年nba总决赛数据 编辑:程序博客网 时间:2024/06/06 01:22
Centos7+Nginx通过windows CA颁发及配置SSL服务
近期在学习Linux的相关知识,作为一个运维工程师所必备的知识点,一个web服务尤其运行在互联网上的很容易攻击,所以为了保证安全最起码的需要对web服务配置SSL,这样能提高一定的安全性,所以我们今天介绍,Centos7+Nginx通过windows CA颁发及配置SSL服务,当然如果是生成环境的话,一般都会申请第三方证书,比如沃通等第三方证书颁发机构,今天我们主要使用的是内部的windows CA服务为nginx颁发证书,当然也可以使用Nginx的自签名证书,但是那样每次访问都会有相关的警告 提醒,具体见下:
环境介绍:
Hostname:
IP:
Role:DC、DNS、CA
OS:windows Server 2016
Hostname:D-
IP:
Role:Nginx Service
OS: Centos
准备操作系统后及安装完成对应的配置:
set-hostname d-s
/etc/selinux/config--->selinux:disabled
3.添加防火墙规则:firewall-cmd –zone=public --add-port=”80/tcp” –permenant
接下来就是安装nginx仓库
yum install /packages/centos/7/noarch/RPMS/nginx-release-centos-7-
yum install nginx
我们同样给nginx配置一个页面,主要是为了区分
vim /usr/share/nginx/html/<html><head><title>Welcome to Nginx!</title><style>body {35em;margin: 0 auto;font-family: Tahoma, Verdana, Arial, sans-serif;}</style></head><body bgcolor="#BE77FF"><h1>Welcome to D-S Nginx Service</h1><h2>HostName:D-S</h2><h2>IP:</h2></body></html>
然后启动nginx服务
systemctl start nginx
接下来开始申请私钥
cd /etc/pki/tlsOpenssl genrsa -out 2048 是私钥
用私钥serverkey 文件生成证书请求文件csr
openssl req -new -key -out 是证书请求文件域名,也称为 Common Name,因为特殊的证书不一定是域名:组织或公司名字(Organization):Example, Ixmsoft部门(Department):可以不填写,城市(City):Beijing省份(State / Province):Beijing国家(Country):CN加密强度:2048 位,如果你的机器性能强劲,也可以选择 4096 位如果是泛域名证书,则应该填写*
我们打开刚才生成的csr文件
此时,我们有了csr文件我们通过这个文件在内部的windows CA服务器上申请证书
使用base64位编码的CMC或者RKCS提交证书申请
然后我们将csr文件的内容粘贴,选择web服务证书模板提交
一定要下载basic64编码这个类型,不然在nginx启动的时候回报错
下载证书完成
我们将该证书上传到上,nginx服务器上
我们将证书拷贝到证书目录下
cp /etc/pki/tlsls
我们为了证书统一 配置,再nginx的目录下创建了一个ssl目录,专门存放证书文件
cd /etc/nginxMkdir ssl
然后我们将刚才的那三个文件拷贝到这个目录下
cp /etc/pki/tls/ /etc/nginx/ssl/
我们为了好记名,将申请的证书修改名字及扩展名
mv
在配置ssl之前,我们先访问以下,默认是80
接下来我们配置ssl,默认的配置文件
vim /etc/nginx//
我们因为不使用80,所以用不到,mv 重命名
我们在/etc/nginx//下新建一个配置文件
vim nginx-server {listen 443;server_name ;ssl on;ssl_certificate /etc/nginx/ssl/;ssl_certificate_key /etc/nginx/ssl/;access_log logs/ssl_;location / {root /usr/share/nginx/html;}}
我们保证配置文件没有问题,可以使用以下命令测试
Nginx -t
查看端口信息
接下来我们尝试访问,443可以访问了,而且证书加载都是对的
如果想访问80跳转到443,那么我们需要修改刚才的nginx_文件。
我们需要配置一下
server {listen 80;server_name ;rewrite ^(.*) $server_name$1 permanent;}server {listen 443;server_name ;ssl on;ssl_certificate /etc/nginx/ssl/;ssl_certificate_key /etc/nginx/ssl/;access_log logs/ssl_;location / {root /usr/share/nginx/html;}}
这样重启nginx后,使用80访问后会自动跳转到443端口的https下
- Centos7+Nginx通过windows CA颁发及配置SSL服务
- windows server 2003配置CA服务器通过SCEP颁发证书
- StartSSL免费的HTTPS证书颁发机构及nginx 的ssl配置
- Nginx配置SSL证书部署HTTPS网站(颁发证书)
- 构建自己的证书颁发服务(CA)
- 企业私有(OpenSSL)CA配置和Nginx配置SSL
- [nginx] ssl 配置 --自行颁发不受浏览器信任的 SSL 证书
- 基于OpenSSL自建CA和颁发SSL证书
- 基于OpenSSL自建CA和颁发SSL证书
- 基于OpenSSL自建CA和颁发SSL证书
- CA加密,网络安全-CA(证书颁发机构)配置概述
- nginx通过ssl反代至后端http服务
- CentOS7安装nginx及配置
- Tomcat SSL配置及Tomcat CA证书安装
- Tomcat SSL配置及Tomcat CA证书安装
- Tomcat SSL配置及Tomcat CA证书安装
- Tomcat SSL配置及Tomcat CA证书安装
- Tomcat SSL配置及Tomcat CA证书安装
- 数据库操作命令
- 面试
- amp.cmd
- leetcode9. Palindrome Number
- vsftpd 设置
- Centos7+Nginx通过windows CA颁发及配置SSL服务
- windows server 2012服务器
- Spark性能优化:shuffle调优
- 基于ubuntu16.04系统下OpenCV源码安装及无法import cv2
- I2C设备驱动的编写(一)
- matplotlib(三)——Working with text
- 【LeetCode】Add Strings 解题报告
- I2C设备驱动的编写(二)
- Unable to start EmbeddedWebApplicationContext due to missing EmbeddedServletContainerFactory bean.