自签发证书

获取OpenSSL软件的版本信息：

rpm -qa openssl
openssl version          　　　　<- 查看openssl版本信息

获取OpenSSL配置文件信息：

 /etc/pki/tls/openssl.cnf  　　<- openssl配置文件，主要用于配置成私有ca时进行使用

第一步：创建出一个私钥文件

（出生证明）             --- 运维人员需要会
openssl genrsa 2048 >server.key            <- 创建私钥信息，并指定私钥的长度为2048，并将生成
                                           的私钥信息保存在一个文件中
openssl genrsa -out server.key 2048        <- 将私钥信息直接进行保存，加密长度一定要放在输出
                                           文件后面
(umask 077;openssl genrsa -out server1024.key 1024)        
                                        <- 利用小括号，实现子shell功能，
                                           临时修改umask，使之创建的私钥文件权限为600

第二步：生成证书文件信息

①. 生成自签发证书                   --- 运维人员可以自行操作
[root@NFS-server-01 ~]# openssl req -new -x509 -key server.key -out server.crt -days 365
req        <- 用于请求创建一个证书文件
new        <- 表示创建的是新的证书
x509    <- 表示定义证书的格式为标准格式
key        <- 表示调用的私钥文件信息
out        <- 表示输出证书文件信息
days    <- 表示证书的有效期
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN                    <- 定义生成证书的国家
State or Province Name (full name) []:BJ                <- 定义生成证书的省份
Locality Name (eg, city) [Default City]:BJ                <- 定义生成证书的城市
Organization Name (eg, company) [Default Company Ltd]:oldboy              <- 定义生成证书的组织
Organizational Unit Name (eg, section) []:it                              <- 定义生成证书的职能部门
Common Name (eg, your name or your server's hostname) []:oldboy.com.cn    <- 定义主机服务器名称
说明：此输出信息非常重要，客户端在获取证书前，会利用主机名与相应服务器之间建立连接，然后获得证书
Email Address []:

②. 向证书颁发机构申请证书            --- ca证书版本机构完成
        生成请求证书文件 （户口本）       --- 运维人员完成
        openssl req -new -key httpd.key -out httpd.csr
        获取得到证书文件 （身份证）       --- ca颁发机构完成   
        省略

 第三步：配置网站服务，加载私钥和证书信息

server {
    server_name YOUR_DOMAINNAME_HERE;
    listen 443;
    ssl on;
    ssl_certificate /usr/local/nginx/conf/server.crt;
    ssl_certificate_key /usr/local/nginx/conf/server.key;
}

server {
    listen        80;
    server_name  www.etiantian.org;
    rewrite ^(.*)$  https://$host$1 permanent; 
}
server {
    listen       443;
    server_name  www.etiantian.org;
    ssl on;
    ssl_certificate /server/key/server.crt;
    ssl_certificate_key /server/key/server.key;
    root   html/www;
    index  index.html index.htm;
}