生成站点证书

为您的站点生成根 CA 和 TLS 证书和密钥。对于生产站点，您可能希望使用诸如Let’s Encrypt生成 TLS 证书和密钥之类的服务，但此示例使用命令行工具。这一步有点复杂，但只是一个设置步骤，以便您可以将某些内容存储为 Docker 机密。如果你想跳过这些子步骤，你可以使用 Let's Encrypt生成站点密钥和证书，命名文件和 ，然后跳到 配置 Nginx 容器。

1.生成根密钥。

$ openssl genrsa -out "root-" 4096

2.使用根密钥生成 CSR。

$ openssl req

-new -key "root-"

-out "root-" -sha256

-subj '/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA'

3.配置根 CA。编辑一个名为的新文件root-并将以下内容粘贴到其中。这限制了根 CA 只签署叶证书而不是中间 CA。

[root_ca]

basicConstraints = critical,CA:TRUE,pathlen:1

keyUsage = critical, nonRepudiation, cRLSign, keyCertSign

subjectKeyIdentifier=hash

4.签署证书。

$ openssl x509 -req -days 3650 -in "root-"

-signkey "root-" -sha256 -out "root-"

-extfile "root-" -extensions

root_ca

5.生成站点密钥。

$ openssl genrsa -out "" 4096

6.生成站点证书并使用站点密钥对其进行签名。

$ openssl req -new -key "" -out "" -sha256

-subj '/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost'

7.配置站点证书。编辑一个名为的新文件并将以下内容粘贴到其中。这限制了站点证书，使其只能用于对服务器进行身份验证，而不能用于签署证书。

[server]

authorityKeyIdentifier=keyid,issuer

basicConstraints = critical,CA:FALSE

extendedKeyUsage=serverAuth

keyUsage = critical, digitalSignature, keyEncipherment

subjectAltName = DNS:localhost, IP:.1

subjectKeyIdentifier=hash

8.签署站点证书。

$ openssl x509 -req -days 750 -in "" -sha256

-CA "root-" -CAkey "root-" -CAcreateserial

-out "" -extfile "" -extensions server

9.在和文件不需要由Nginx的服务，但你需要他们，如果你想生成一个新的站点证书。保护root-文件。