pc浏览器访问时会提示
android微信中无法访问,ios微信访问会有不安全提示
—
一、把证书准备好。
步骤与使用OpenSSL自签发服务器https证书所述大同小异。在这里再重复一次。
1、制作CA证书:
ca.key CA私钥:
openssl genrsa -des3 -out ca.key 2048
制作解密后的CA私钥(一般无此必要):
openssl rsa -in ca.key -out ca_decrypted.key
ca.crt CA根证书(公钥):
openssl req -new -x509 -days 7305 -key ca.key -out ca.crt
2、制作生成网站的证书并用CA签名认证
在这里,假设网站域名为blog.creke.net
生成blog.creke.net证书私钥:
openssl genrsa -des3 -out blog.creke.net.pem 1024
制作解密后的blog.creke.net证书私钥:
openssl rsa -in blog.creke.net.pem -out blog.creke.net.key
生成签名请求:
openssl req -new -key blog.creke.net.pem -out blog.creke.net.csr
在common name中填入网站域名,如blog.creke.net即可生成改站点的证书,同时也可以使用泛域名如*.creke.net来生成所有二级域名可用的网站证书。
用CA进行签名:
openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in blog.creke.net.csr -out blog.creke.net.crt
其中,policy参数允许签名的CA和网站证书可以有不同的国家、地名等信息,days参数则是签名时限。
如果在执行过程中缺少一些文件 执行下面相关命令
touch CA/index.txt
touch CA/serial
echo “01” > CA/serial
再重新执行签名命令。
最后,把ca.crt的内容粘贴到blog.creke.net.crt后面。这个比较重要!因为不这样做,可能会有某些浏览器不支持。
好了,现在https需要到的网站私钥blog.creke.net.key和网站证书blog.creke.net.crt都准备完毕。接下来开始配置服务端。
httpd.conf中的写法
—
SSLEngine on
SSLCertificateFile /home/webadmin/ssl/ca1/star.xxxx.cn.crt
SSLCertificateKeyFile /home/webadmin/ssl/ca1/star.xxxxx.key