1. 生成证书
keytool -genkey -v -alias <Alias别名> -keyalg RSA -keystore <KeyStore文件> -validity <有效期>
keytool -genkey -v -alias nginx -keyalg RSA -keystore nginx.keystore -validity 36500
- alias别名为
nginx - keystore文件为
nginx.keystore - validity有效期为 36500天
生成结果:
2. 转换证书
常用证书格式:JKS(.keystore),微软(.pfx),OPSSL之PEM(.key + .crt),其中tomcat使用JKS格式,nginx使用PEM格式。
由于生成的证书是jks格式,nginx不能直接用,需要要转成PEM格式,这要用到jks2pfx工具进行转换。jks2pfx工具下载
解释:JKS2PFX <KeyStore文件> <KeyStore密码> <Alias别名> <导出文件名 >
JKS2PFX.bat ssl\nginx.keystore 123456 nginx exportfile .
- KeyStore文件为
ssl\nginx.keystore - KeyStore密码为 123456
- Alias别名为
nginx - 导出文件名为 .,即当前文件夹
转换结果:
3. 使用证书
在nginx.conf配置添加ssl证书,可以将上面生成的证书拷贝到nginx.conf文件夹下
server {
listen 443 ssl;
server_name localhost;
ssl_certificate exportfile.crt;
ssl_certificate_key exportfile.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
alias D:/website/dist/;
}
}
- 说明下:有的证书是他人提供的,并非上面我们自己生成的,可能别人给你的证书中不存在key,如下面截图没有key,这个时候不配置key nginx会提示
"ssl_certificate_key" is defined for certificate,因此key是必须的,需要自己生成key。
- 这里可以根据提供的 password 从 pfx 文件生成 key
openssl pkcs12 -in xxx.pfx -nodes -out xxx.key
# 将.pfx格式的证书转换为.pem文件格式:
openssl pkcs12 -in xxx.pfx -nodes -out server.pem
# pem文件中导出私钥server.key:
openssl rsa -in server.pem -out server.key
# 从.pem文件中导出证书server.crt
openssl x509 -in server.pem -out server.crt
# 从.crt文件中导出证书server.pem
openssl x509 -in server.crt -out server.pem -outform PEM
4. 验证
