流 年

1、服务器单向验证 创建并进入sslkey存放目录

mkdir /opt/nginx/sslkey
cd /opt/nginx/sslkey

①、生成RSA密钥：

openssl genrsa -out key.pem 2048

②、生成一个证书请求

openssl req -new -key key.pem -out cert.csr

//会提示输入省份、城市、域名信息等，重要的是，email 一定要是你的域名后缀的你可以拿着这个文件去数字证书颁发机构（即CA）申请一个数字证书。CA会给你一个新的文件cacert.pem，那才是你的数字证书。

如果是自己做测试，就可以用下面这个命令来生成证书：

openssl req -new -x509 -nodes -out server.crt -keyout server.key

③、修改 nginx 配置

# HTTPS server  
#  
server {  
listen 443;  
server_name localhost;  

ssl on;  
ssl_certificate /opt/nginx/sslkey/server.crt;  
ssl_certificate_key /opt/nginx/sslkey/server.key;  

ssl_session_timeout 5m;  

ssl_protocols SSLv2 SSLv3 TLSv1;  
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;  
ssl_prefer_server_ciphers on;  

location / {      
        root /home/workspace/;      
        index index.asp index.aspx;         
    }  
}