1、创建key文件夹

[root@localhost centos]# mkdir key

 进入key文件夹

[root@localhost centos]# cd key/

2、生成私钥文件

[root@localhost key]# openssl genrsa -des3 -out ssl.key 4096

输入这个key文件的密码。不推荐输入，因为以后要给nginx使用。每次reload nginx配置时候都要你验证这个PAM密码的。 由于生成时候必须输入密码。可以输入后 再删掉。

此时私钥已经生成

3、消除私钥登录密码

可以通过更改私钥名称将之前设置的密码消除

[root@localhost key]# mv ssl.key xxx.key

将更改后新的私钥名称再次生成密钥，此时，密码会被消除，之后的登录也不会在需要密码了

[root@localhost key]# openssl rsa -in xxx.key -out ssl.key

删除最先生成的私钥

[root@localhost key]# rm -rf xxx.key

4、构造证书申请文件

[root@localhost key]# openssl req -new -key ssl.key -out ssl.csr

证书申请文件生成

5、生成证书

利用证书申请文件和私钥(ssl.key ssl.csr)申请生成crt证书文件

[root@localhost key]# openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt

这里365是证书有效期 推荐3650,该证书只能自用。最后使用到的文件是key和crt文件。

生成真正的crt证书文件

在需要使用证书的nginx配置文件的server节点里加入以下配置就可以了。

然后重启nginx就大功告成了