在 Linux 上使用 OpenSSL 进行 SSL/TLS 配置,您需要遵循以下步骤:
安装 OpenSSL:
对于基于 Debian 的系统(如 Ubuntu),请使用以下命令:
sudo apt-get update
sudo apt-get install openssl
对于基于 RHEL 的系统(如 CentOS、Fedora),请使用以下命令:
sudo yum install openssl
生成证书和私钥:
使用 OpenSSL 生成一个 RSA 私钥(通常为 2048 位):
openssl genrsa -out server.key 2048
使用该私钥创建一个自签名证书(有效期为 365 天):
openssl req -new -x509 -key server.key -out server.crt -days 365
当提示输入信息时,请根据实际情况填写。这些信息将包含在证书中。
配置 Web 服务器以使用 SSL/TLS:
以下是针对一些流行的 Web 服务器的配置方法:
Apache:
编辑 Apache 配置文件(通常位于 /etc/httpd/conf/httpd.conf 或 /etc/apache2/sites-available/default-ssl.conf),并添加以下内容:
SSLEngine on
SSLCertificateFile /path/to/server.crt
SSLCertificateKeyFile /path/to/server.key
保存更改并重新启动 Apache 服务:
sudo systemctl restart httpd
Nginx:
编辑 Nginx 配置文件(通常位于 /etc/nginx/sites-available/default 或 /etc/nginx/conf.d/default.conf),并添加以下内容:
ssl_certificate /path/to/server.crt;
ssl_certificate_key /path/to/server.key;
ssl on;
保存更改并重新启动 Nginx 服务:
sudo systemctl restart nginx
测试 SSL/TLS 配置:
使用以下命令测试 SSL/TLS 配置是否正确:
openssl s_client -connect yourdomain.com:443
如果配置正确,您应该会看到类似于 “Verify return code: 0 (ok)” 的消息。
现在,您已经在 Linux 上使用 OpenSSL 成功配置了 SSL/TLS。请注意,自签名证书在生产环境中可能会导致浏览器警告。要解决此问题,您可以从权威证书颁发机构(CA)购买 SSL/TLS 证书。
