nginx配置https及Android客户端访问自签名证书

huazhi

　　前一篇随笔通过keytool生成keystore并为tomcat配置https，这篇随笔记录如何给nginx配置https。如果nginx已配置https，则tomcat就不需要再配置https了。
　　通过以下三步生成自签名证书
　　＃ 生成一个key，你的私钥,openssl会提示你输入一个密码，可以输入，也可以不输，
　　＃ 输入的话，以后每次使用这个key的时候都要输入密码，安全起见，还是应该有一个密码保护
　　> openssl genrsa -des3 -out selfsign.key 4096
　　# 使用上面生成的key，生成一个certificate signing request (CSR)
　　# 如果你的key有密码保护，openssl首先会询问你的密码，然后询问你一系列问题，
　　# 其中Common Name(CN)是最重要的，它代表你的证书要代表的目标，如果你为网站申请的证书，就要添你的域名。
　　> openssl req -new -key selfsign.key -out selfsign.csr
　　# 生成Self Signed证书 selfsign.crt就是我们生成的证书了
　　> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt
　　nginx配置https简单，用nginx中ssl模块即可添加配置如下：
　　#https默认端口是443，不是80
　　listen 443;
　　#为一个server开启ssl支持
　　ssl  on;
　　#为虚拟主机指定pem格式的证书文件
　　#ssl_certificate  D:/keys/selfsign.crt;
　　#为虚拟主机指定私钥文件
　　#ssl_certificate_key  D:/keys/selfsign.key;
　　通过以上即可通过浏览器访问443端口了，这时浏览器提示证书无效，继续访问即可。
　　如果使用自己的客户端访问则提示证书无效，需要把证书信息添加到客户端中，同时需要在生成证书的时候添加SAN信息。
　　生成证书如下：
　　1、证书生成配置文件san.conf如下：

[req]

　　distinguished_name = req_distinguished_name
　　req_extensions = v3_req

[req_distinguished_name]

　　countryName = Country Name (2 letter code)
　　countryName_default = CN
　　stateOrProvinceName = State or Province Name (full name)
　　stateOrProvinceName_default = SiChuan
　　localityName = Locality Name (eg, city)
　　localityName_default = ChengDu
　　organizationName = Organization Name (eg, company)
　　organizationName_default = xxxxx Ltd
　　organizationalUnitName  = Organizational Unit Name (eg, section)
　　organizationalUnitName_default  = xxxxxxx
　　commonName = Common Name (e.g. server FQDN or YOUR name)
　　commonName_default = *.xxxx.com
　　commonName_max  = 64

[v3_req]

　　basicConstraints = CA:TRUE
　　subjectAltName = @alt_names

[alt_names]

　　#根据需要可以添加多个，我在测试时使用内网IP，一直提示hostname not verified ，后来在这里添加了自己的ip就可以了
　　IP.1 = 192.168.140.11
　　IP.2 = 192.168.140.12
　　DNS.1 = www.xxxx.com
　　生成证书指令：
　　# 生成 CA 的 RSA 密钥对
　　openssl genrsa -des3 -out selfsign.key 4096
　　# 自签发 CA 证书
　　openssl req -new -x509 -days 365 -key selfsign.key -out selfsign.crt -extensions v3_req -config san.cnf
　　# 查看证书内容
　　openssl x509 -in selfsign.crt -noout -text
　　android客户端访问https示例使用了okhttp框架，webview访问https服务。地址：http://code.taobao.org/svn/learningtips/AndroidHttpsTest