HTTPS证书认证手册
该文档旨在指导外部系统接入服务端,快速建立HTTPS认证。
修改日期 | 版本 | 说明 | 修改人 |
2024-1-13 | V1.0 | 修改 | |
一、服务端(NGINX)生成公私钥
1.Nginx上生成私钥
openssl genrsa -out server.key 2048
2.Nginx上生成公钥
openssl req -new -x509 -key server.key - -days 36500
免费ssl证书永久生成录入的参数:
Country Name : CN
State or Province Name(full name) : Beijing
Locality Name : Beijing
Organization Name: CCBA
Organizational Unit Name: CCBA
Common Name : ba
Email Address:
注意:Common Name为域名,此处定义很重要,接入方需要按照此域名配置hosts文件
3.将服务端文件给到客户端
二、客户端操作
客户端按照要求以HTTPS方式。
1.生成私钥
openssl genrsa -out client_组件名.key 2048
注意:不要命名为client.key
2.生成公钥
openssl req -new -x509 -key client_组件名.key -out client_组件名.crt -days 36500
注意:不要命名为
录入的参数:
Country Name : CN
State or Province Name(full name) : Beijing
Locality Name : Beijing
Organization Name: CCBA
Organizational Unit Name: CCBA
Common Name: ba
Email Address:
注意:Common Name为域名,此处定义很重要,接入方需要按照此域名配置hosts文件
3.生成client_private.pfx
在client.key 和 所在的目录下:
生成client_private.pfx
openssl pkcs12 -export -out client_private.pfx -inkey client.key -
4.客户端配置hosts文件
客户端接入P5时需要修改hosts文件,配置P5域名
cd /etc
vi hosts
服务端nginx的IP ba
注意:需要root权限修改。
三、部署
此章节需要生产部署人员关注。
1.生成公私钥
服务端Nginx上,需要将生成的server.key和,上传到 /home/ap/nginx/conf/keys/目录下(自己定义目录也行),如果无此目录,执行
mkdir -p /home/ap/nginx/conf/keys/
第一次上线执行,以后上线不需要。
2.修改Nginx配置
在Nginx的conf目录下,编辑f
将监控的端口 改为 8080 ssl;
证书配置路径 则指定到:/home/ap/nginx/conf/keys/
ssl_certificate ;
ssl_certificate_key keys/server.key ;
ssl_client_certificate ;
ssl_verify_client on;
第一次上线执行,以后上线不需要。
3.添加外部系统接入证书
外部系统以HTTPS方式接入,需要把公钥发给服务端,服务端上传到Nginx的/home/ap/nginx/conf/keys/目录下,追加公钥文件:
client_bak
cat client1.crt >>
重启Nginx:
$HOME/nginx/sbin/nginx -p $HOME/nginx -s reload
注意:每次有新外部系统接入,均需执行此步骤。
发表评论