一、安装openssl

 从官网下载：https://www.openssl.org/source/

windows环境变量设置：

set OPENSSL_CONF=C:\Program Files\OpenSSL-Win64\bin\openssl.cfg

set path=C:\Program Files\OpenSSL-Win64\bin;%path%;

二、生成证书

1，生成私钥：

openssl genrsa -des3 -out merrick.key 2048

2，产生自签名证书：

openssl req -new -x509 -days 3650 -key merrick.key -out merrick.crt

注意：

Common Name (e.g. server FQDN or YOUR name) []: Starry 全限定域名：同时带有主机名和域名的名称，为持有者取名。

需要在证书中添加的身份必须是您通过URL查找的身份.例如,如果您正在使用https://www.example.net,您的证书必须有效www.example.net; 如果你正在使用https://10.0.0.1/,你的证书需要有效10.0.0.1，不用包含端口号

3，查看证书：

openssl x509 -in merrick.crt -noout -text

4，给nginx免控制台输入密码的私钥：

openssl rsa -in merrick.key -out merrick.key.unpass

附：使用openssl将pfx证书做转换

#转换成crt证书

openssl pkcs12 -in abc.pfx -clcerts -nokeys -out abc.crt

#密钥

openssl pkcs12 -in abc.pfx -nocerts -nodes -out abc.key

三、使用nginx，然后增加SSL配置，访问时，通过https访问， 配置示例：

server {

        listen      6013 ssl;

        server_name  localhost;

        ssl_certificate      /opt/ctjsoft/cert/server.crt; # 证书

        ssl_certificate_key  /opt/ctjsoft/cert/server.key; # 私钥

        ssl_session_cache    shared:SSL:1m;

        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;

        ssl_prefer_server_ciphers  on;

        location /api/ {

            proxy_pass http://127.0.0.1:6003/api/;

        }

    }

四、附录：

单向HTTPS和双向HTTPS

因为HTTP协议是基于明文传输数据的，所以数据在传输过程中非常容易被窃取，被篡改，从而导致一些重要的信息泄露，或者导致一些重要的信息被恶意修改。此时，便要使用HTTPS协议。

HTTPS（Hypertext Transfer Protocol Secure）并不是一个新的协议，而是HTTP+SSL；

1

相当于将SSL嵌套在HTTP和传输层之间；

SSL的作用有：1.认证客户端和服务器，确保数据发送到正确的地方（证书认证）2.加密数据以防止数据中途被窃取（密钥加密）3.维护数据的完整性，防止数据在传输过程中被篡改（数据签名）

※在上面说到的密钥加密，客户端首先要得到服务端的公钥，并且确定该公钥是真正的服务器端的公钥（证书认证），然后使用此公钥去加密接下来要使用的对称密钥，传输给服务端后，服务端使用自己的私钥解密，得到对称密钥，此后两者之间传输的数据都是基于该对称密钥加密后的。

一，单向HTTPS：

所谓的单向HTTPS，意思是在认证的时候，只需要客服端去认证服务端，而不需要服务端认证客户端。

过程如下 ：

1.客户端发送一个HTTPS链接，发送自己的SSL版本号和支持的Hash算法

2.服务端在收到了HTTPS请求后，生成公司钥对并将公钥发给CA机构去生成证书，然后根据客户端发来的SSL版本号和Hash算法协商自己的版本号和Hash算法，最后将协商好的版本号，hash算法和证书发送给客户端

3.客户端验收到证书后，验证证书的合法性（使用CA机构的公钥解密后，对服务器的公钥使用hash运算一次，对此数字签名，如果一样，则说明公钥没有被篡改）；

随后如果证书受信任或者客户端接收了不受信任的证书:

1>浏览器生成一段随机数(对称密钥)，使用服务端的公钥对该随机数进行加密；

2>然后再产生一个握手消息，使用之前协商好的Hash握手消息进行hash运算，然后在使用随机数进行加密；

3>发送给服务端（发送的内容包括使用公钥加密了的随机数，使用随机数加密了的握手消息，握手消息的Hash）

1·因为证书中包含了证书的信息（颁发机构，服务器域名，有效期等），数字签名，服务器公钥，所以CA机构在返回给服务器证书时，使用CA机构的私钥对证书进行加密（后面服务端发送给客户端后，因为客户端浏览器内嵌了CA机构的公钥，所以可以直接解密）；

2·数字签名是指对服务器的公钥进行hash运算（之前协商），得到得信息摘要；

4.服务端收到该消息后:

1>使用私钥对随机数进行解密；

2>得到随机数(对称密钥)后，对握手消息进行解密；

3>再使用hash对握手消息进行运算，与得到的握手消息的hash进行比对；

然后服务端生成一个握手消息，使用hash进行运算，再使用随机数（对称密钥）进行加密，发送给客户端（发送的内容包括：使用随机数加密了的握手消息和计算出的hash）—>此时便不再需要公私钥的加密了，因为此时的随机数（对称密钥）只有双方知道。

5.客户端收到发送的消息后，使用随机数解密，然后对握手消息进行hash运算，与传过来的hash进行比对；

若比对成功，则进行真正的数据传输，此后真正的数据传输都是使用该随机数（对称密钥）进行加密的。

二，双向HTTPS

双向HTTPS，顾名思义，是在客户端验证完服务端之后，服务端也需要验证客户端。

双向HTTPS只是在客户端验证服务端证书正确后，发送自己的证书及公钥，服务端收到后进行验证。然后在发送随机数的过程中，客户端使用服务端的公钥进行加密，而在协商加密算法的时候，客户端发送自己支持加密方式，服务端选择加密程度高的方式使用客户端的公钥进行加密，发送给客户端。

以上便是单向HTTPS和双向HTTPS

关于证书

1、每个人都可以使用一些证书生成工具为自己的https站点生成证书（比如jdk的keytool），大家称它为“自签名证书”，但是自己生成的证书是不被互联网承认的，所以浏览器会报安全提示，要求你手动安装证书。只有通过权威的CA机构付费获得的证书才能被互联网承认（有点类似于根域服务器的权威机构）。

2、证书（无客户端服务端之分）保存着ip信息、证书过期时间、证书所有者地址信息等。

双向认证

　　1、先决条件是有两个或两个以上的证书，一个是服务端证书，另一个或多个是客户端证书。

　　2、服务端保存着客户端的证书并信任该证书，客户端保存着服务端的证书并信任该证书。这样，在证书验证成功的情况下即可完成请求响应。

　　3、双向认证一般企业应用对接。

单向认证

　　1、客户端保存着服务端的证书并信任该证书即可

　　2、https一般是单向认证，这样可以让绝大部分人都可以访问你的站点。