LINUX使用 OpenSSL 生成证书

使用OpenSSL 生成证书

①、生成RSA密钥的方法

openssl genrsa -out privkey.pem 2048

有的证书要1024 的，所以得：

openssl genrsa -out privkey.pem 1024

②、生成一个证书请求

openssl req -new -key privkey.pem -out cert.csr

会提示输入省份、城市、域名信息等，重要的是，email 一定要是你的域名后缀的，比如webmaster@zou.lu 并且能接受邮件！

这样就有一个csr 文件了，提交给ssl 提供商的时候就是这个csr 文件

（来源：/blog/nginx_ssl_config/）

直接cat cert.csr

得到一大串字符，比如这样：

-----BEGIN CERTIFICATE REQUEST-----

MIIBsTCCARoCAQAwcTELMAkGA1UEBhMCQ04xCzAJBgNVBAgTAkhCMQwwCgYDVQQH EwNTSloxDzANBgNVBAoTBkZhbmZvdTESMBAGA1UEAxMJZzFuZm91LmRlMSIwIAYJ KoZIhvcNAQkBFhN3ZWJtYXN0ZXJAZmFuZm91LmRlMIGfMA0GCSqGSIb3DQEBAQUA

A4GNADCBiQKBgQC5l4PmZg6TCIpduefxq5gsLXN1JeQdBmUs+pEApeHmNoxE+R4k

VkQUJzLj5o3ltQGJzYrcIfru8NryQSxaT/5IjeFwS7nIMsx8KPkQQ71BJazsiZj+

CdLDRJj1m/SrjTsNrfYj4rFFS1FXq7uEDyreUx7fyAljx70jPSsGBOGwRQIDAQAB oAAwDQYJKoZIhvcNAQEFBQADgYEACKCBQcnCq5yE3GFyN3NyxCQEvnspkIv9AqI4 FcwqyHPZWkupp3wfubHY80IwtfjlGlTSynzE7FZLVpcbNfKLnAYlYEwDY7NukJNy

pCbyqpJJXdAl3Jcun0NlLtSxTQpR+abO8va/BAO5Hp9h1rpSRtTdSJd2fC/owRV1

BfRuJnA=

-----END CERTIFICATE REQUEST-----

提交给你的ssl 提供商即可，一般半个钟头到一天时间就会发给你证书，如图：

把所有文件全部上传到一个特定的目录，比如我是上传到/root/zoulu/

这里，zoulukey.pem 和zoulucert.csr 是自己在VPS 生成的，剩下的都是证书签发机构颁发的。

一般情况下，直接用证书签发机构颁发的crt 文件即可，比如zou_lu.crt ，但是有很多证书签发机构默认在Firefox 中文版下是不会信任的，经过仔细研究，终于发现，原来得把证书签发机构办法给你的crt 文件也放入才行。

方法如下：

合并PositiveSSLCA.crt （证书签发机构的crt）和zou_lu.crt (自己域名的crt)

cat zou_lu.crt >> PositiveSSLCA.crt

mv PositiveSSLCA.crt zou_lu.crt

或者直接用记事本打开，然后复制PositiveSSLCA.crt 里面所有的内容到zou_lu.crt 最下方即可。

（来源：/blog/nginx_ssl_config/）

③、修改Nginx 配置

listen 443;

server_name zou.lu;

index index.html index.htm index.php;

root /home/zoulu;

error_page 404 403 http://zou.lu;

ssl on;

ssl_certificate /root/zoulu/zou_lu.crt;

ssl_certificate_key /root/zoulu/zoulukey.pem;

其他的配置信息和一般站点的一样，不再重复。