自制https访问

制作过程
1，自制CA私钥
openssl genrsa -des3 -out ca.key 4096

2，自制CA证书
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

3，自制Server私钥，生成免密码版本
openssl genrsa -des3 -out server.key 4096
openssl rsa -in server.key -out server.nosecret.key

4，制作csr文件
openssl req -new -key server.key -out server.csr

5，用CA证书私钥对csr签名（CA不能用X509，这点需要注意）生成Server证书
openssl ca -days 3650 -in server.csr -cert ca.crt -keyfile ca.key -out server.crt
制作完成得到六个文件

需要注意的几个问题
1，在linux下面执行上面六条命令，按提示输入基本就可以了
2，提示输入密码时，统一一个简单密码就可以了，防止弄混了
3，提示输入其它信息时，全部用同一串字符就可以了，防止混乱，例如：gd
4，有两处输入域名的地方【Common Name 】一定要输入正确的网站域名，例如www.gd.cn 否则部署后浏览器会提示域名不一致,不要带端口号
5，最后检查六个文件都生成了，而且都有内容，如果出现0字节的文件说明没成功
6，如果出现类似报错： /etc/pki/CA/index.txt: No such file or directory
执行下面的语句就可以了
touch /etc/pki/CA/index.txt
touch /etc/pki/CA/serial
Echo “01” > /etc/pki/CA/serial

服务端Nginx配置
把 server.crt 和 server.nosecret.key 拷贝到 nginx\conf\ssl 目录下面

server {
listen 443;
server_name 192.168.4.30;

ssl on;
ssl_certificate ssl/server.crt;
ssl_certificate_key ssl/server.nosecret.key;

        location / {
            root   html;
            index  index.html index.htm;
        }
}

客户端安装
双击ca.crt进行安装，安装到受信任的机构里面

重启浏览器访问https