如何為自己的nginx配置免費(fèi)的https,并且通過自簽的https下載plist文件
一.首先你要清楚https是什么,自簽又是什么東西颓鲜?
其實(shí)這些東西不清楚一樣可以操作,只是了解更好顽耳,就像http默認(rèn)端口80腾么,https默認(rèn)端口是443,同樣也可以人為的去更改珊擂。
首先說明下樓主為什么要搞https圣勒,因?yàn)樘O果下載必須通過plist文件,而plist文件的形式是:itms-services://?action=download-manifest&url=https://xxxxxx.plist ,問題就在于域名必須是https的摧扇,如果是http 下載的會提示:“你的網(wǎng)站域名”無效 字樣圣贸。這個蘋果的一個限制,至于為什么扛稽,百度吧吁峻。
其次自簽這個東西,其實(shí)就是一個保密協(xié)議在张。
補(bǔ)充一下私鑰只能用公鑰解開用含,而公鑰只能用私鑰解開。
提前說下帮匾,自簽的https同樣不能下載plist啄骇,為什么?樓主谷歌也沒找到瘟斜,以后找到會補(bǔ)充的缸夹。
過多的就不說了痪寻,自行百度吧。
二.配置自己的https(linux),樓主是自己的開發(fā)機(jī)虽惭,所以用戶是root
1.新建目錄橡类,存放公鑰私鑰等信息
mkdir ca 新建ca文件夾
2 生成秘鑰
openssl genrsa -des3 -out server.key 2048
會有2次提示輸入密碼,簡單的都寫一樣的(至少4位):123456
此時已經(jīng)生成了一個server.key 文件
3.去除輸入密碼的步驟可以使用以下命令芽唇,不然每次重啟nginx都會輸入密碼
openssl rsa -in server.key -out server.key
- 創(chuàng)建服務(wù)器證書的申請文件server.csr
openssl req -new -key server.key -out server.csr
可以一路回車:image.png
但是此處要填寫自己的域名
- 創(chuàng)建CA證書:
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
image.png
此時目錄下應(yīng)該有
ca.crt ca.srl server.crt server.csr server.key
5個文件
三. 配置nginx
listen: 端口 ssl
ssl_certificate /RSA/server.crt
ssl_certificate_key /RSA/server.key
到此進(jìn)本就是配置完了顾画,但是電腦可能還不能打開https本地簽名的網(wǎng)址,可能需要本地瀏覽器驗(yàn)證證書披摄,而蘋果手機(jī)Safari就可以很簡單的驗(yàn)證亲雪,電腦瀏覽器驗(yàn)證證書歡迎補(bǔ)充