企业官网建设流程全解析

公司网站简历刷新怎么做,运营管理,天津网站建设工具,上海网络推广外包公司文章目录 1.生成SSL证书 1.1生成自签名证书(生成证书方式一)1.2.模拟CA机构方式生成证书(生成证书方式二#xff0c;推荐) 3.1 生成 CA 的私钥ca.key和自签名证书ca.crt#xff1a;3.2 生成服务器私钥 server.key#xff1a;3.3 生成服务器证书请求文件server.csr#xff…文章目录1.生成SSL证书1.1生成自签名证书(生成证书方式一)1.2.模拟CA机构方式生成证书(生成证书方式二推荐)3.1 生成 CA 的私钥ca.key和自签名证书ca.crt3.2 生成服务器私钥 server.key3.3 生成服务器证书请求文件server.csr3.4 生成服务器证书请求文件 server.csr3.5 创建扩展文件private.ext(让证书可以关联多个受信任域名或者IP)3.6 生成服务器证书文件 server.crt3.7 验证生成的证书可选2 修改nginx.conf配置3 安装证书到本地让浏览器信任证书1.生成SSL证书1.1生成自签名证书(生成证书方式一)# 生成私钥:server.key [rootlocalhost ~]# openssl genrsa -out server.key 2048 # 生成证书请求文件:server.csr [rootlocalhost cert]# openssl req -new -key server.key -out server.csr Country Name (2 letter code) [XX]:cn 《这里填国家 State or Province Name (full name) []:guangdong 《这里填省份 Locality Name (eg, city) [Default City]:shenzhen 《这里填城市 Organization Name (eg, company) [Default Company Ltd]:xxx公司 《这里填公司名称 Organizational Unit Name (eg, section) []:xxx部门 《这里填公司部门 Common Name (eg, your name or your servers hostname) []:www.example.com 《这里网站域名或者IP # 自签名方式-生成证书文件:server.crt [rootlocalhost cert]# openssl x509 -req -in server.csr -signkey server.key -out server.crt -days 365000 Signature ok subject/Ccn/STguangdong/Lshenzhen/Odas/OUma/CNwww.das.com Getting Private key生成完毕后实际有用的只有 server.key 和 server.crt文件1.2.模拟CA机构方式生成证书(生成证书方式二推荐)在 OpenSSL 中生成证书时-CAkey 选项用于指定 CA证书颁发机构的私钥文件。这个私钥文件用于签署生成的证书从而证明证书是由该 CA 颁发的。3.1 生成 CA 的私钥ca.key和自签名证书ca.crtopenssl req -x509 -nodes -days 365000 -newkey rsa:2048 -subj /CCN/STguangdong/Lshenzhen/ODAS -keyout ca.key -out ca.crt -reqexts v3_req -extensions v3_ca3.2 生成服务器私钥 server.keyopenssl genrsa -out server.key 2048 openssl req -new -key server.key -subj /CCN/STguangdong/Lshenzhen/ODAS/CNwww.example.com -sha256 -out server.csr3.3 生成服务器证书请求文件server.csropenssl genrsa -out server.key 20483.4 生成服务器证书请求文件 server.csropenssl req -new -key server.key -subj /CCN/STguangdong/Lshenzhen/ODAS/CNwww.example.com -sha256 -out server.csr3.5 创建扩展文件private.ext(让证书可以关联多个受信任域名或者IP)cat private.ext EOF [ req ] default_bits 2048 distinguished_name req_distinguished_name req_extensions san extensions san [ req_distinguished_name ] countryName CN stateOrProvinceName Definesys localityName Definesys organizationName Definesys [SAN] authorityKeyIdentifierkeyid,issuer basicConstraintsCA:FALSE keyUsage digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName alt_names [alt_names] DNS.1 www.example.com DNS.2 www.example.net DNS.3 www.example.org #IP.1 192.168.1.1 #IP.2 203.0.113.1 EOF注在上文的DNS.x填上你网站使用的域名、IP.X填上你网站使用的IP。结合实际来看你网站使用的是域名还是IP也可以都进行配置。3.6 生成服务器证书文件 server.crtopenssl x509 -req -days 365000 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -sha256 -out server.crt -extfile private.ext -extensions SAN注-extfile private.ext -extensions SAN 是指告诉OpenSSL从private.ext文件中读取[SAN]下扩展的定义并将其应用到正在生成的证书中3.7 验证生成的证书可选#验证证书 openssl x509 -in server.crt -text -noout 这个命令会显示证书的详细信息包括颁发者、有效期、公钥等。证书生成完毕后相关文件如下所示2 修改nginx.conf配置server { listen 80; server_name localhost; # 将所有http请求自动跳转至https return 302 https://$host$request_uri; } server { listen 443 ssl; server_name localhost; # ssl配置 ssl_certificate /上文生成的的证书目录路径/server.crt; # 证书文件路径 ssl_certificate_key /上文生成的的证书目录路径/server.key; # 私钥文件路径 ssl_session_timeout 5m; # ssl会话信息保留时间 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 仅启用安全的 TLS 版本 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; # 指定强大的加密套件(用于对称和非对称加密算法) ssl_prefer_server_ciphers on; # 优先使用服务器端的加密套件 client_max_body_size 100m; # 客户端请求体的最大允许大小 # ... 以下是你配置文件的其他配置 }3 安装证书到本地让浏览器信任证书安装证书让浏览器信任证书。正常情况下用浏览器访问自签名的证书网站那么浏览器会提示当前网站不安全证书不受信任。下面 以上文 “模拟CA机构方式生成证书(生成证书方式二推荐)” 方式安装CA证书到本地让浏览器信任证书。双击ca.crt文件再次访问注在访问网站使用的IP或者域名必须是 subjectAltName 下指定的域名或者IP。