一、自建证书+nginx ssl配置

使用openssl创建rsa1024根证书，并签发*.example.cn 30年有效期证书

要使用 OpenSSL 创建一个 RSA 1024 位的根证书，并签发一个包含通配符的域名证书，可以按照以下步骤进行：

（1）创建 RSA 1024 位的根证书（Root CA）：

1. 生成根密钥（私钥）：

   openssl genrsa -out root.key 1024

2. 生成自签名的根证书（公钥）：

   openssl req -x509 -new -nodes -key root.key -days 10950 -out root.crt

   在证书请求期间，填写相关证书信息。10950 天是根证书的有效期，约合30年。

（2）创建通配符域名证书（Wildcard Certificate）：

1. 生成域名私钥：

   openssl genrsa -out domain.key 1024

2. 生成域名证书签名请求（CSR）：

   openssl req -new -key domain.key -out domain.csr

   在证书请求期间，填写通配符域名 *.example.cn 作为 Common Name (CN)。

3. 使用根证书签署域名证书：

   openssl x509 -req -in domain.csr -CA root.crt -CAkey root.key -CAcreateserial -out domain.crt -days 10950

现在，您已经创建了包含通配符域名的证书 domain.crt，其有效期为30年，同时也拥有一个根证书 root.crt 用于签署该域名证书。确保在真实环境中使用更强大的密钥长度和更合适的证书有效期。此外，在生产环境中建议谨慎保管您的私钥和根证书，以防止密钥泄露或篡改。

（3）如何调整nginx以允许rsa 1024的证书

server {
    listen 192.168.23.225:3001 ssl;
    server_name example.cn;
    access_log /var/log/nginx/example.cn.a.log main;
    error_log /var/log/nginx/example.e.log;
    ssl_certificate /etc/nginx/cert.d/test/example.cn.crt;
    ssl_certificate_key /etc/nginx/cert.d/test/example.cn.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:AES128-SHA:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;
    ssl_prefer_server_ciphers on;
    location / {
        proxy_pass http://example;
        proxy_set_header Host $host;
        proxy_http_version 1.1;
        proxy_read_timeout 120s;
        proxy_set_header X-real-ip $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

二、TCP后端+Nginx Stream

做完上面的配置后，后端是不通的，询问同事后端跑的啥业务，测试不通过，心底没底。后来得知，后端直接是TCP协议，用于接收物联网设备的数据。具体说，这个TCP已经实现了端到端AES对称加密，但是用户还想用SSL来一层非对称加密。而且指明了使用RSA 1024。然后，同事还给了一个方案，通过使用Nginx的Stream模块，加上SSL证书实现安全通信。

这个吗，听说过stream作为TCP负载均衡，还真没听说过这个里面还有SSL。不过，经过搜索，还真有，而且在官网也看到了相关资料。走运的是，本来以为还得下载编译nginx模块，没想到直接带了。

nginx version: nginx/1.22.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'

（1）配置Stream+TCP+SSL

# 在nginx.conf配置文件中增加如下配置
stream {
    log_format stream_log_format '$remote_addr [$time_local] '
                 '$protocol $status $bytes_sent $bytes_received '
                 '$session_time "$upstream_addr" '
                 '"$upstream_bytes_sent" "$upstream_bytes_received" "$upstream_connect_time"';

    open_log_file_cache off;

    include /etc/nginx/stream.d/test/appname/*.conf;
}

# 在include的文件里面配置 
# cat /etc/nginx/stream.d/test/xxx/xxx.conf 
upstream xxx {
    server 127.0.0.1:7005 weight=2 max_fails=3 fail_timeout=20s;
}

server {
    listen 3000;
    access_log /var/log/nginx/xxx.a.log stream_log_format;
    error_log /var/log/nginx/xxx.e.log;
    proxy_pass bziot-alarmcomet;
}

server {
    listen 3001 ssl;
    access_log /var/log/nginx/xxx.ssl.a.log stream_log_format;
    error_log /var/log/nginx/xxx.ssl.e.log;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
    ssl_certificate /etc/nginx/cert.d/test/huarunbaizun.test.stesh.cn.crt;
    ssl_certificate_key /etc/nginx/cert.d/test/huarunbaizun.test.stesh.cn.key;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    proxy_ssl off;
    proxy_pass xxx;
}

（3）测试

不挂载CA证书，使用openssl测试

挂载CA证书，使用openssl测试