• nginx配置https及Android客户端访问自签名证书


    前一篇随笔通过keytool生成keystore并为tomcat配置https,这篇随笔记录如何给nginx配置https。如果nginx已配置https,则tomcat就不需要再配置https了。
    通过以下三步生成自签名证书
    # 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,
    # 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护
    > openssl genrsa -des3 -out selfsign.key 4096

    # 使用上面生成的key,生成一个certificate signing request (CSR)
    # 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,
    # 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。
    > openssl req -new -key selfsign.key -out selfsign.csr

    # 生成Self Signed证书 selfsign.crt就是我们生成的证书了
    > openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt

    nginx配置https简单,用nginx中ssl模块即可添加配置如下:
    #https默认端口是443,不是80
    listen 443;
    #为一个server开启ssl支持
    ssl on;
    #为虚拟主机指定pem格式的证书文件
    #ssl_certificate D:/keys/selfsign.crt;
    #为虚拟主机指定私钥文件
    #ssl_certificate_key D:/keys/selfsign.key;
    通过以上即可通过浏览器访问443端口了,这时浏览器提示证书无效,继续访问即可。
    如果使用自己的客户端访问则提示证书无效,需要把证书信息添加到客户端中,同时需要在生成证书的时候添加SAN信息。
    生成证书如下:
    1、证书生成配置文件san.conf如下:
    [req]
    distinguished_name = req_distinguished_name
    req_extensions = v3_req

    [req_distinguished_name]
    countryName = Country Name (2 letter code)
    countryName_default = CN
    stateOrProvinceName = State or Province Name (full name)
    stateOrProvinceName_default = SiChuan
    localityName = Locality Name (eg, city)
    localityName_default = ChengDu
    organizationName = Organization Name (eg, company)
    organizationName_default = xxxxx Ltd
    organizationalUnitName = Organizational Unit Name (eg, section)
    organizationalUnitName_default = xxxxxxx
    commonName = Common Name (e.g. server FQDN or YOUR name)
    commonName_default = *.xxxx.com
    commonName_max = 64

    [v3_req]
    basicConstraints = CA:TRUE
    subjectAltName = @alt_names

    [alt_names]
    #根据需要可以添加多个,我在测试时使用内网IP,一直提示hostname not verified ,后来在这里添加了自己的ip就可以了
    IP.1 = 192.168.140.11
    IP.2 = 192.168.140.12
    DNS.1 = www.xxxx.com

    生成证书指令:

    # 生成 CA 的 RSA 密钥对
    openssl genrsa -des3 -out selfsign.key 4096

    # 自签发 CA 证书
    openssl req -new -x509 -days 365 -key selfsign.key -out selfsign.crt -extensions v3_req -config san.cnf

    # 查看证书内容
    openssl x509 -in selfsign.crt -noout -text

    android客户端访问https示例使用了okhttp框架,webview访问https服务。地址:http://code.taobao.org/svn/learningtips/AndroidHttpsTest

  • 相关阅读:
    TFIDF<细读>
    数据挖掘工程师的面试问题与答题思路【转】
    CTR常见规则摘录
    分类中数据不平衡问题的解决经验[转载]
    机器学习积累【2】
    机器学习-常见问题积累【1】
    数据的归一化和标准化
    数据挖掘之特征选择
    jupyter-notebook快捷键
    python基础学习记录一
  • 原文地址:https://www.cnblogs.com/robertsun/p/6762214.html
Copyright © 2020-2023  润新知