Centos7+Nginx通过windows CA颁发及配置SSL服务

Centos7+Nginx通过windows CA颁发及配置SSL服务

近期在学习Linux的相关知识，作为一个运维工程师所必备的知识点，一个web服务尤其运行在互联网上的很容易攻击，所以为了保证安全最起码的需要对web服务配置SSL，这样能提高一定的安全性，所以我们今天介绍，Centos7+Nginx通过windows CA颁发及配置SSL服务，当然如果是生成环境的话，一般都会申请第三方证书，比如沃通等第三方证书颁发机构，今天我们主要使用的是内部的windows CA服务为nginx颁发证书，当然也可以使用Nginx的自签名证书，但是那样每次访问都会有相关的警告 提醒，具体见下：

环境介绍：

Hostname：DC.IXMSOFT.COM

IP：192.168.5.10

Role：DC、DNS、CA

OS:windows Server 2016

Hostname：D-S.IXMSOFT.COM

IP：192.168.5.20

Role：Nginx Service

OS: Centos 7.1

准备操作系统后及安装完成对应的配置：

1.hostnamectl set-hostname d-s

2.vim /etc/selinux/config--->selinux：disabled

3.添加防火墙规则：firewall-cmd Czone=public --add-port=”80/tcp” Cpermenant

接下来就是安装nginx仓库

yuminstallhttp://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm

yuminstallnginx

我们同样给nginx配置一个页面，主要是为了区分

vim/usr/share/nginx/html/index.html
<html>
<head>
<title>WelcometoNginx!</title>
<style>
body{
35em;
margin:0auto;
font-family:Tahoma,Verdana,Arial,sans-serif;
}
</style>
</head>
<bodybgcolor="#BE77FF">
<h1>WelcometoD-SNginxService</h1>
<h2>HostName:D-S</h2>
<h2>IP:192.168.5.20</h2>
</body>
</html>

然后启动nginx服务

systemctlstartnginx

接下来开始申请私钥

cd/etc/pki/tls
Opensslgenrsa-outserver.key2048
Server.key是私钥

用私钥serverkey 文件生成证书请求文件csr

opensslreq-new-keyserver.key-outserver.csr
Server.csr是证书请求文件
域名，也称为CommonName，因为特殊的证书不一定是域名：nginx.ixmsoft.com
组织或公司名字（Organization）：Example,Ixmsoft
部门（Department）：可以不填写，城市（City）：Beijing
省份（State/Province）：Beijing
国家（Country）：CN
加密强度：2048位，如果你的机器性能强劲，也可以选择4096位
如果是泛域名证书，则应该填写*.ixmsoft.com

我们打开刚才生成的csr文件

此时，我们有了csr文件我们通过这个文件在内部的windows CA服务器上申请证书

使用base64位编码的CMC或者RKCS提交证书申请

然后我们将csr文件的内容粘贴，选择web服务证书模板提交

一定要下载basic64编码这个类型，不然在nginx启动的时候回报错

下载证书完成

我们将该证书上传到192.168.5.20上，nginx服务器上