centos 证书(https证书)

各位老铁们，大家好，今天由我来为大家分享centos 证书，以及https证书的相关问题知识，希望对大家有所帮助。如果可以帮助到大家，还望关注收藏下本站，您的支持是我们最大的动力，谢谢大家了哈，下面我们开始吧！

centos的curl默认nss造成忽略证书选项返回77错误

在使用php7.1调用curl时，若发现忽略证书无效且返回curlerrorno=77错误，这可能是由于系统自带的curl并未使用openssl导致。

为判断是否确实如此，可进行以下步骤验证：

1.首先，明确当前系统中的curl是否使用openssl。此信息通常可通过查找系统库文件或使用命令行工具获取。在终端输入`ldd/usr/bin/curl`，检查依赖库是否包含openssl。

2.若结果显示curl未使用openssl，可确认问题根源。

为解决此问题，建议采取以下措施：

1.重新下载并编译安装curl版本，确保其集成openssl。在安装过程中，应注意选择包含openssl支持的curl版本。

2.完成安装后，重启php-fpm服务，以确保新版本的curl在php环境中有效运行。

通过上述步骤，应能有效解决使用php7.1调用curl时忽略证书无效的问题，避免返回curlerrorno=77错误。若操作后问题依旧，建议再次检查系统环境与curl版本配置。

如何在CentOS7.x上生成自签名SSL证书

在CentOS 7.x环境中设置HTTPS安全连接时，自签名SSL证书是不可或缺的工具，尤其适用于测试和内部环境。以下是详细的生成步骤：

1.安装OpenSSL:首先确保你的系统已安装OpenSSL，这是实现SSL和TLS协议的重要组件。

2.生成带密码私钥:创建一个密码保护的私钥文件，以增强私钥的安全性。输入密码（如“123456”）进行生成。

3.私钥去密码保护:当需要特定配置时，可以移除密码保护，输入先前设定的密码。

4.创建自签名证书:使用生成的私钥，创建自签名证书文件，填写相关证书信息，如国家、城市等，按需操作。

5.生成证书签名请求:为了可能的第三方签发，可创建一个证书签名请求（CSR）。

6.生成完整签名证书:如果需要CA签发，按照指示生成带有CA签名的证书。

7.导出PFX格式证书: PFX格式便于导入导出，可通过命令生成，密码可留空。

8.转换证书格式:将PFX证书转换为PEM格式，方便使用。

完成以上步骤后，你已经在CentOS 7.x上成功创建了自签名SSL证书，适用于本地测试或内部网络的加密通信。但在生产环境中，推荐使用受信任的CA签发的证书以确保最高安全级别。

如有对GPT4.0的需求，请参考相关教程。

CentOS下生成自签名的证书的方法详解

1.生成自签名的证书

通常要配置https的服务器，都需要一个由正式的CA机构认证的X509证书。当客户端连接https服务器时，会通过CA的共钥来检查这个证书的正确性。但要获得CA的证书是一件很麻烦的事情，而且还要花费一定的费用。因此通常一些小的机构会是使用自签名的证书。也就是自己做CA，给自己的服务器证书签名。

这个过程有两个主要的步骤，首先是生成自己的CA证书，然后再生成各个服务器的证书并为它们签名。我是用OpenSSL来生成自签名证书的。

第一步是制作CA的证书：

opensslgenrsa-des3-outmy-ca.key2048

opensslreq-new-x509-days3650-keymy-ca.key-outmy-ca.crt

这会生成my-ca.key和my-ca.crt文件，前者存放着使用my-ca.crt制作签名时必须的密钥，应当妥善保管。而后者是可以公开的。上面的命令为my-ca.key设定的有效期为10年。

用命令

opensslx509-inmy-ca.crt-text-noout

可以查看my-ca.crt文件的内容。

有了CA证书之后，就可以为自己的服务器生成证书了：

opensslgenrsa-des3-outmars-server.key1024

opensslreq-new-keymars-server.key-outmars-server.csr

opensslx509-req-inmars-server.csr-outmars-server.crt-sha1-CAmy-ca.crt-CAkeymy-ca.key-CAcreateserial-days3650

前两个命令会生成key、csr文件，最后一个命令则通过my-ca.crt为mars-server.csr制作了x509的签名证书。

需要注意的是，在执行上述第二个命令时，CommonName选项应当输入的是服务器的域名，否则在用户通过https协议访问时每次都会有额外的提示信息。

用命令

opensslx509-inmars-server.crt-text-noout

可以查看mars-server.crt文件的内容。

2.配置Apache服务器

首先，创建/etc/apache2/ssl目录，将刚刚制作的my-ca.crt、mars-server.key和mars-server.crt文件拷贝到这个目录中。

接着执行命令

a2emodssl

激活Apache的SSL模块，然后在/etc/apache2/sites-enable/中添加虚拟主机，这个过程与添加普通的虚拟主机类似，不同点在于该主机的端口应为443。配置如下：

NameVirtualHost*:443

ServerNamelocalhost

DocumentRoot/var/www

SSLEngineOn

SSLCipherSuiteHIGH:MEDIUM

SSLProtocolall-SSLv2

SSLCertificateFile/etc/apache2/ssl/mars-server.crt

SSLCertificateKeyFile/etc/apache2/ssl/mars-server.key

SSLCACertificateFile/etc/apache2/ssl/my-ca.crt

var/www>

Orderdeny,allow

Allowfromlocalhost

ServerNamelocalhost

DocumentRoot/var/www

var/www>Orderdeny,allow

Allowfromlocalhost

以上配置保证了用户在访问443和80端口时可以看到相同的内容，而仅仅是使用的协议不同。修改好配置后，便可以重启Apache服务器，这时需要输入mars-server.key的密码。用浏览器访问

这时应当看到一个弹出对话框，让你确认是否信任该站点的证书，选择信任后，便可以查看该站点的内容了。

由于大多数Apache服务器都是在服务器启动时自动启动，为了避免在启动Apache时输入密码，可以用以下命令生成不加密的mars-server.key文件：

opensslrsa-inmars-server.key-outmars-server.key.insecure

用新生成的mars-server.key.insecure代替原有的key文件即可。