生成站点证书

为您的站点生成根 CA 和 TLS 证书和密钥。对于生产站点，您可能希望使用诸如Let’s Encrypt生成 TLS 证书和密钥之类的服务，但此示例使用命令行工具。这一步有点复杂，但只是一个设置步骤，以便您可以将某些内容存储为 Docker 机密。如果你想跳过这些子步骤，你可以使用 Lets Encrypt生成站点密钥和证书，命名文件site.key和 site.crt，然后跳到 配置 Nginx 容器。

1.生成根密钥。

$ openssl genrsa -out “root-ca.key” 4096

2.使用根密钥生成 CSR。

$ openssl req \

-new -key “root-ca.key” \

-out “root-ca.csr” -sha256 \

-subj /C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA

3.配置根 CA。编辑一个名为的新文件root-ca.cnf并将以下内容粘贴到其中。这限制了根 CA 只签署叶证书而不是中间 CA。

[root_ca]

basicConstraints = critical,CA:TRUE,pathlen:1

keyUsage = critical, nonRepudiation, cRLSign, keyCertSign

subjectKeyIdentifier=hash

4.签署证书。

$ openssl x509 -req -days 3650 -in “root-ca.csr” \

-signkey “root-ca.key” -sha256 -out “root-ca.crt” \

-extfile “root-ca.cnf” -extensions \

root_ca

5.生成站点密钥。

$ openssl genrsa -out “site.key” 4096

6.生成站点证书并使用站点密钥对其进行签名。

$ openssl req -new -key “site.key” -out “site.csr” -sha256 \

-subj /C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost

7.配置站点证书。编辑一个名为的新文件site.cnf并将以下内容粘贴到其中。这限制了站点证书，使其只能用于对服务器进行身份验证，而不能用于签署证书。

[server]

authorityKeyIdentifier=keyid,issuer

basicConstraints = critical,CA:FALSE

extendedKeyUsage=serverAuth

keyUsage = critical, digitalSignature, keyEncipherment

subjectAltName = DNS:localhost, IP:127.0.0.1

subjectKeyIdentifier=hash

8.签署站点证书。

$ openssl x509 -req -days 750 -in “site.csr” -sha256 \

-CA “root-ca.crt” -CAkey “root-ca.key” -CAcreateserial \

-out “site.crt” -extfile “site.cnf” -extensions server

9.在site.csr和site.cnf文件不需要由Nginx的服务，但你需要他们，如果你想生成一个新的站点证书。保护root-ca.key文件。