1、创建key文件夹
[root@localhost centos]# mkdir key
进入key文件夹
[root@localhost centos]# cd key/
2、生成私钥文件
[root@localhost key]# openssl genrsa -des3 -out ssl.key 4096
输入这个key文件的密码。不推荐输入,因为以后要给nginx使用。每次reload nginx配置时候都要你验证这个PAM密码的。 由于生成时候必须输入密码。可以输入后 再删掉。
此时私钥已经生成
3、消除私钥登录密码
可以通过更改私钥名称将之前设置的密码消除
[root@localhost key]# mv ssl.key xxx.key
将更改后新的私钥名称再次生成密钥,此时,密码会被消除,之后的登录也不会在需要密码了
[root@localhost key]# openssl rsa -in xxx.key -out ssl.key
删除最先生成的私钥
[root@localhost key]# rm -rf xxx.key
4、构造证书申请文件
[root@localhost key]# openssl req -new -key ssl.key -out ssl.csr
证书申请文件生成
5、生成证书
利用证书申请文件和私钥(ssl.key ssl.csr)申请生成crt证书文件
[root@localhost key]# openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt
这里365是证书有效期 推荐3650,该证书只能自用。最后使用到的文件是key和crt文件。
生成真正的crt证书文件
在需要使用证书的nginx配置文件的server节点里加入以下配置就可以了。
然后重启nginx就大功告成了