自制证书实现网站https访问

制作过程

1，自制CA私钥
openssl genrsa -des3 -out ca.key 4096
2，自制CA证书
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

3，自制Server私钥，生成免密码版本
openssl genrsa -des3 -out server.key 4096
openssl rsa -in server.key -out server.nosecret.key
4，制作csr文件
openssl req -new -key server.key -out server.csr
5，用CA证书私钥对csr签名（CA不能用X509，这点需要注意）生成Server证书
openssl ca -days 3650 -in server.csr -cert ca.crt -keyfile ca.key -out server.crt

制作完成得到六个文件

需要注意的几个问题
1，在linux下面执行上面六条命令，按提示输入基本就可以了
2，提示输入密码时，统一一个简单密码就可以了，防止弄混了
3，提示输入其它信息时，全部用同一串字符就可以了，防止混乱，例如：gd
4，有两处输入域名的地方【Common Name 】一定要输入正确的网站域名，例如www.gd.cn，否则部署后浏览器会提示域名不一致，
5，最后检查六个文件都生成了，而且都有内容，如果出现0字节的文件说明没成功

如果出现类似报错： /etc/pki/CA/index.txt: No such file or directory
执行下面的语句就可以了
touch /etc/pki/CA/index.txt
touch /etc/pki/CA/serial
Echo “01” > /etc/pki/CA/serial

服务端Nginx配置
把 server.crt 和 server.nosecret.key 拷贝到 nginx\conf\ssl 目录下面

	server {
		listen 443;
		server_name 192.168.4.30;
		
		ssl on;
		ssl_certificate ssl/server.crt;
		ssl_certificate_key ssl/server.nosecret.key;

		location / {
			root   html;
			index  index.html index.htm;
		}
	}

客户端安装
双击ca.crt进行安装，安装到受信任的机构里面

重启浏览器访问https

因为客户端必须按照证书，自制的证书适合企业客户，面向消费者的就去Let's Encrypt申请一个吧