域名ssl证书可以自建吗?SSL证书可以自己做吗?答案肯定是可以的,但是自己做的SSL证书是不被浏览器信任的,主要用在本地测试学习。由证书颁发者(CA机构)颁发的SSL证书,CA机构经过了国际webtrust认证和电子签发法许可,这样的证书才能被浏览器信任,而自建的SSL证书往往只是https化,但浏览器依然显示连接不安全。如果觉得各云服务商平台上的免费SSL证书不香,想自己折腾做一个SSL证书,这里老刘博客准备以下教程,使用OpenSSL自签ssl证书用于网站https化,IE和Firefox浏览器可以正常安全访问。
这里,我们不探究域名SSL证书实现原理。我们要完成的任务是,自己充当CA机构,然后签出证书供服务器使用。本次教程是在windows实现,实验之前,确认自己的电脑中有openssl程序。如果没有,老刘博客帮你准备了一个:http://download.okcoder.cn/openssl_create.zip。
第一步:生成CA证书
1、创建私钥
openssl genrsa -out ca/ca-key.pem 1024
2、创建证书请求
openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem
3、自签署证书,有效期10年(现在正规SSL证书有效期都是13个月了)
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650
4、将证书导出成浏览器支持的.p12格式 (这一步不需要,可以省略)
openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12
创建之后,将这个根证书导入浏览器中(受信任的根证书颁发机构):
IE:双击第4步生成的p12证书文件
Firefox:选项->隐私与安全 ->证书->查看证书->将ca-cert.pem导入“证书颁发机构”
Chrome:“菜单”设置->左上角”设置”->高级->隐私设置和安全性->证书管理->受信任的根证书颁发机构->导入ca-cert.pem证书文件
第二步:生成Server证书
1、创建私钥
openssl genrsa -out server/server-key.pem 1024
2、创建证书请求
openssl req -new -out server/server-req.csr -key server/server-key.pem
(这一步,Common Name要填写自己的域名)
3、用自己的CA证书,签署Server证书
openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
4、将证书导出成浏览器支持的.p12格式 (这一步不需要,可以省略)
openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12
创建Server证书之后,与Ca证书合成完整的证书链:
cat server-cert.pem ca-cert.pem > full.pem
第三步:将Server证书布署到服务器上
server {
listen 80;
listen 443 ssl;
server_name 域名; #这里的域名要和Server证书域名对应
index index.html index.htm index.php;
root 站点根目录;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_certificate /path/to/full.pem;
ssl_certificate_key /path/to/server-key.pem;
ssl_prefer_server_ciphers on;
ssl_ciphers HIGH:!aNULL:!MD5;
location ~ .*\.(php|php5)?$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fastcgi.conf;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
}
location ~ .*\.(js|css)?$
{
expires 1h;
}
}
到这里,OpenSSL自签域名SSL证书可以使用了。
实验结果:IE和Firefox都可以正常访问,但是Chrome却一直无法识别自签证书(NET::ERR_CERT_AUTHORITY_INVALID),如果有实验成功的小伙伴欢迎留言。如果觉得太麻烦可以直接去UCloud云平台免费申请一张域名SSL证书,教程参见《网站启用https:UCloud优刻得免费SSL证书申请与部署流程》。