CA和申請憑證,憑證保證公開金鑰來源的可靠性,是安全傳輸的一環。
1. 自簽測試憑證
1.1 下載OpenSSL 工具 https://www.openssl.org/
1.2 OpenSSL 設定
1.2.1 建立產生憑證所需目錄 安裝完成後之bin 目錄下建立目錄CA 目錄CA 建立目錄newcerts 目錄CA 下建立2 個檔案index.txt 和serial 編輯檔案serial,輸入自簽憑證之初始序號 每次以根憑證簽發成功後,序號會自動+1,並記錄至index.txt 和newcerts
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial
1.3 建立CA 根憑證 -subj 的參數請自行調整為單位適合的名稱 C:國家或地區名稱 ST:州/省 L:州/省 O:組織 OU:組織單位 CN:通用名稱 -new: 生成新證書簽署請求 -x509: 專用于CA生成自簽證書 -key: 生成請求時用到的私密金鑰檔 -days n:證書的有效期限 -out /PATH/TO/SOMECERTFILE: 證書的保存路徑 根憑證金鑰長度為4096,效期為10年
openssl req -x509 -subj "/C=TW/ST=Taipei/L=Taipei/O=YourOrganization/OU=YourOrganization/CN=YourCommonNameCA" -new -sha256 -newkey rsa:4096 -keyout CertificateCA.key -out CertificateCA.cer -days 3650
1.4 建立伺服器憑證與憑證請求檔 -subj 的參數請自行調整為單位適合的名稱,請參考1.3 建立CA根憑證
openssl genrsa -out CertificateCAServer.key 2048 openssl req -subj "/C=TW/ST=Taipei/L=Taipei/O=YourOrganization/OU=YourOrganization/CN=YourCommonNameServer" -new -sha256 -key CertificateCAServer.key -out CertificateCAServer.csr
1.5 簽發自我憑證 openssl ca -keyfile CertificateCA.key -cert CertificateCA.cer -days 730 -md sha256 -in CertificateCAServer.csr -out CertificateCAServer.cer
1.6 顯示憑證用途 openssl x509 -purpose -in CertificateCAServer.cer -inform PEM
2. Nginx 設定 Nginx 需先升級為1.18 版以上,方可支援此正向代理SSL 憑證模組。