centos openssl证书管理

在CentOS系统上使用OpenSSL进行证书管理是一个常见的需求，尤其是在配置SSL/TLS加密通信时。以下是一些基本的步骤和命令，帮助你生成、安装和管理OpenSSL证书。

安装OpenSSL

首先，确保你的CentOS系统已经安装了OpenSSL。如果没有安装，可以使用以下命令进行安装：

sudo yum install openssl openssl-devel 

生成自签名证书

1. 生成CA私钥：

openssl genrsa -out rootCA.key 2048 

2. 创建并自签名根证书：

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem 

3. 生成服务器证书：

openssl genrsa -out server.key 2048 openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=tietou/CN=server.tietou.com" openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 500 

4. 生成客户端证书（可选）：

openssl genrsa -out client.key 2048 openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=tietou/CN=client.tietou.com" openssl x509 -req -in client.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out client.crt -days 500 

配置Nginx使用SSL证书

1. 编辑Nginx配置文件：

sudo nano /etc/nginx/conf.d/ssl.conf 

2. 添加以下内容：

server { listen 443 ssl; server_name yourdomain.com; ssl_certificate /etc/pki/tls/certs/server.crt; ssl_certificate_key /etc/pki/tls/private/server.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; location / { root /var/www/html; index index.html index.htm; } } 

3. 测试Nginx配置并重新加载：

sudo nginx -t sudo systemctl reload nginx 

删除OpenSSL证书

1. 删除证书文件：

sudo rm /etc/pki/tls/certs/server.crt sudo rm /etc/pki/tls/private/server.key 

2. 删除证书相关的配置文件（如果有的话）：

sudo rm /etc/nginx/conf.d/ssl.conf 

3. 清理残留的依赖关系和缓存文件：

sudo yum clean all sudo rm -rf /var/cache/yum