1. 生成证书

keytool -genkey -v -alias <Alias别名> -keyalg RSA -keystore <KeyStore文件> -validity <有效期>

keytool -genkey -v -alias nginx -keyalg RSA -keystore nginx.keystore -validity 36500

• alias别名为 nginx
• keystore文件为 nginx.keystore
• validity有效期为 36500天

生成结果：

2. 转换证书

常用证书格式：JKS(.keystore)，微软(.pfx)，OPSSL之PEM(.key + .crt)，其中tomcat使用JKS格式，nginx使用PEM格式。
由于生成的证书是jks格式，nginx不能直接用，需要要转成PEM格式，这要用到jks2pfx工具进行转换。jks2pfx工具下载

解释：JKS2PFX <KeyStore文件> <KeyStore密码> <Alias别名> <导出文件名 >

JKS2PFX.bat ssl\nginx.keystore 123456 nginx exportfile .

• KeyStore文件为 ssl\nginx.keystore
• KeyStore密码为 123456
• Alias别名为 nginx
• 导出文件名为 .，即当前文件夹

转换结果：

3. 使用证书

在nginx.conf配置添加ssl证书，可以将上面生成的证书拷贝到nginx.conf文件夹下

server {
    listen 443 ssl;
    server_name localhost;
    ssl_certificate exportfile.crt;
    ssl_certificate_key exportfile.key; 
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m; 
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    location / {
    	alias D:/website/dist/;
    }
}

• 说明下：有的证书是他人提供的，并非上面我们自己生成的，可能别人给你的证书中不存在key，如下面截图没有key，这个时候不配置key nginx会提示"ssl_certificate_key" is defined for certificate ，因此key是必须的，需要自己生成key。
  
• 这里可以根据提供的 password 从 pfx 文件生成 key openssl pkcs12 -in xxx.pfx -nodes -out xxx.key

# 将.pfx格式的证书转换为.pem文件格式:
openssl pkcs12 -in xxx.pfx -nodes -out server.pem

# pem文件中导出私钥server.key：
openssl rsa -in server.pem -out server.key

# 从.pem文件中导出证书server.crt
openssl x509 -in server.pem -out server.crt

# 从.crt文件中导出证书server.pem
openssl x509 -in server.crt -out server.pem -outform PEM

4. 验证