文章里采用自签名CA证书，签发一个应用证书，并配置到nginx中，通过浏览器访问nginx来验证结果，证书制作工具采用openssl，并在centos 7.9上验证通过。

制作CA根证书

openssl genrsa -out ca.key 2048openssl req -x509 -new -nodes -key ca.key -subj "/CN=8.142.18.3" -days 36500 -out ca.crt

8.142.18.3这个IP可以根据自己需要修改，不一定是IP地址啊。

执行成功后，在命令执行目录会看到如下文件。

CA根证书

ca.crt就是我们自制的根证书，ca.key是证书的私钥。

制作应用证书

这里我们制作一个证书，并把证书配置到nginx中，验证一下结果。

1.创建配置文件

先创建一个x509 v3配置文件nginx_ssl.cnf

vi nginx_ssl.cnf

[ req ]req_extensions = v3_reqdistinguished_name = req_distinguished_name[ req_distinguished_name ][ v3_req ]basicConstraints = CA:FALSEkeyUsage = nonRepudiation, digitalSignature, keyEnciphermentsubjectAltName = @alt_names[ alt_names ]IP.1 = 192.168.0.70IP.2 = 192.168.0.114IP.3 = 192.168.0.247IP.4 = 8.142.18.3DNS.1 = feng01DNS.2 = feng02DNS.3 = feng03

IP.4 = 8.142.18.3，这里配置服务器的IP地址，DNS.x配置域名。

2.创建应用证书

//应用私钥openssl genrsa -out nginx_server.key 2048//CSR 证书签名申请openssl req -new -key  nginx_server.key -config nginx_ssl.cnf -subj "/CN=nginx-server" -out nginx_server.csr//使用根证书签名的应用证书openssl x509 -req -in nginx_server.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -days 36500 -extensions v3_req -extfile nginx_ssl.cnf -out nginx_server.crt

执行成功后，在命令执行目录会看到如下文件。

制作应用证书

nginx_server.crt是我们的应用证书，nginx_server.key是我们应用证书的私钥。

3.修改nginx配置文件

如果证书存放在nginx的conf文件夹下面，则可以直接用文件的名字；否则需要配置文件所在的绝对路径，如：/root/pki/nginx_server.crt

vi nginx.conf

server {        listen       80 ssl;        server_name  localhost;        ssl_certificate      /root/pki/nginx_server.crt;        ssl_certificate_key  /root/pki/nginx_server.key;        ssl_session_cache    shared:SSL:1m;        ssl_session_timeout  5m;        ssl_ciphers  HIGH:!aNULL:!MD5;        ssl_prefer_server_ciphers  on;        location / {            root   html;            index  index.html index.htm;        }    }

主要看第5,6行配置，修改完nginx.conf, 不要忘记执行./nginx -s reload

4.将自制的根证书导入到测试机

将根证书ca.crt拷贝到另一台计算机上，最好是window系统的，双击证书--》安装证书--》本地计算机--》下一步--》将所有的证书都放入下列存储（P）--》浏览--》第三方根证书颁发机构--》确定--》下一步--完成，如下图。

在客户端机器上导入根证书

5.使用浏览器访问

在导入根证书的机器上，打开浏览器，输入你的nginx的IP或域名进行访问。

我这里输入的是，效果图如下。

使用chrome浏览器访问效果

6.总结

生成SSL证书我们首先要具备：独立公网IP地址或者域名，才可以生成被浏览器信任的SSL证书。普遍都用域名来生成SSL证书。将域名或者公网IP地址，提交到第三方证书的管理机构，申请SSL证书，每个第三方证书管理机构都有个根证书，而且这个证书被操作系统厂商和浏览器厂商认可的，内置到系统里，这样使用这些机构签发的证书，就被认为是安全的，我们自签发的证书，没有内置的操作系统中，没有办法大面积分发到客户端用户，这就是证书管理机构存在的意义，记得12306网站早期就是手动导入根证书。

参考链接：