用自签名SSL证书和Cloudflare实现Https

Cloudflare支持

安装SSL

sudo apt install openssl

签发自签名证书

1. 生成工作目录（用来存放证书和中间文件）

   mkdir cert_folder
   cd cert_folder
   

2. 创建一个私钥ca.key，为下一步穿件CA证书做准备

   openssl genrsa -des3 -out ca.key 2048
   

   执行命令后，会让输入pass phrase，随便输入什么就行，只是一个临时密码，下一步会用到；
3. 生成CA根证书（公钥）

   openssl req -new -x509 -days 7305 -key ca.key -out ca.crt
   

   -days后面7305表示证书有效天数，这里直接设置成20年 执行命令后，需要输入上一步设置的临时密码；组织地区信息随便填写，其中Common Name填写需要签发的域名，填写根域名linmao.dev，就直接签发根域的CA证书；
4. 接着生成一个给泛域名的私钥

   openssl genrsa -des3 -out linmao.dev.pem 1024
   

   执行命令与上面创建私钥一样，依旧需要设置临时密码以备下面使用；
5. 解密私钥

   openssl rsa -in linmao.dev.pem -out linmao.dev.key
   

6. 生成签名请求

   openssl req -new -key linmao.dev.pem -out linmao.dev.csr
   

   输入命令以后，随便填写组织地区信息，其中Common Name填写泛域名(*.linmao.dev)，这样生成的证书可以供所有子域使用；
7. 修改文件准备签名 现在需要修改文件签名，没有这一步会报错，创建一些中间文件就可以执行签名

   # 在当前目录下新建文件夹demoCA，文件夹名称由/etc/ssl/openssl.cnf中dir = ./demoCA所确定的
   mkdir -p demoCA/newcerts
   touch demoCA/index.txt
   touch demoCA/serial
   echo "01" > demoCA/serial
   

8. 执行签名

   openssl ca -policy policy_anything -days 7305 -cert ca.crt -keyfile ca.key -in linmao.dev.csr -out linmao.dev.crt
   

   最后生成一个linmao.dev.crt文件，把ca.crt中的内容复制粘贴到linmao.dev.crt文件内容后面，就得到签发后的证书。

配置nginx

# 在listen 80下面添加对443端口的监听
listen 443;
ssl on;
ssl_certificate /Path to File/linmao.dev.crt;
ssl_certificate_key /Path to File/linmao.dev.key;

nginx -t

Reference： 用自签名 SSL 证书配合 CloudFlare 免费 SSL 构建全站 HTTPS Can't load /root/.rnd into RNG