基于nginx建立CA實作https加密連接配接

    前幾篇部落格分别實作了nginx的http通路和apache的https加密連接配接，那麼現在就将它們組合在一起，實作基于nginx的https加密連接配接。

一、環境準備

    這次我還是準備了兩個虛拟機和一台真實計算機，其中一台IP為172.16.128.7的主機作為伺服器，安裝nginx軟體提供https服務，另外一台IP為172.16.128.8的主機作為CA，進行證書驗證，最後的真實計算機用來測試https是否配置成功。

二、安裝nginx

    不過這裡隻是為了驗證https的功能，是以下面簡易的建立一個網頁出來：

        上傳并編譯nginx：

<a href="https://s3.51cto.com/wyfs02/M02/A7/4B/wKioL1nklzzDiaHeAAA1q85SUQQ419.png-wh_500x0-wm_3-wmp_4-s_1678542484.png" target="_blank"></a>

    安裝完成之後直接使用“nginx”指令運作nginx服務，之後，我們就可以在真實計算機上通過浏覽器通路“172.16.128.7”,得到以下畫面（這是nginx的自帶頁面，在“/local/nginx/html/”裡邊）：

<a href="https://s3.51cto.com/wyfs02/M02/08/9C/wKiom1nkoiKSrnpZAABuMl5ICYg177.png-wh_500x0-wm_3-wmp_4-s_2144801562.png" target="_blank"></a>

三、制作認證

    進入目錄“cd /etc/pki/CA”然後執行如圖指令（在172.16.128.8（CA）上）：

    回到“172.16.128.7”（伺服器）上，執行如圖操作：

<a href="https://s5.51cto.com/wyfs02/M02/08/A9/wKiom1nliNLBwCrUAADlDbP_IzI134.png-wh_500x0-wm_3-wmp_4-s_693088810.png" target="_blank"></a>

四、更改nginx的ssl配置

    使用下面的指令更改nginx的配置檔案：

<code>~]</code><code># vim /etc/nginx/nginx.conf</code>

    在監聽端口的位置上加上兩行内容，如圖所示：

    内容如下：

<code>        </code><code>listen       443 ssl;   </code><code>#在這裡加上ssl，或者再加一行“ssl on;”效果一樣，這樣是簡寫</code>

<code>        </code><code>ssl_certificate     </code><code>/usr/local/nginx/ssl/myweb</code><code>.</code><code>test</code><code>.com.crt;</code>

<code>            </code><code>#這兩個目錄的路徑是儲存私鑰和CA驗證之後傳回的證書的目錄</code>

<code>        </code><code>ssl_certificate_key </code><code>/usr/local/nginx/ssl/nginx</code><code>.key;</code>

    更改完配置之後儲存退出，并重新加載配置檔案之後，在真實主機的浏覽器中打開，就可以看到下面這個頁面了：

<a href="https://s1.51cto.com/wyfs02/M01/08/A9/wKiom1nli87hWnTsAADTH8IRLtY470.png-wh_500x0-wm_3-wmp_4-s_1502501745.png" target="_blank"></a>

本文轉自正經的青年51CTO部落格，原文連結：http://blog.51cto.com/11142243/1973196 ，如需轉載請自行聯系原作者