目录
获得证书
步骤一:购买证书
步骤二:申请证书
编辑
下载证书及证书转换:编辑
配置SSL证书
在Nginx目录下新建certificate目录,并将下载好的证书/私钥等文件上传至该目录(与配置文件同级目录)。
最后修改一下nginx.conf文件即可,如下:
修改完成后保存配置文件,验证配置是否正确。
重启nginx
获得证书
步骤一:购买证书
1、登录管理控制台。
2、单击页面左上方的,选择“安全与合规 > 云证书管理服务”,进入云证书管理界面。
3、在左侧导航栏选择“SSL证书管理”,进入SSL证书管理页面。
4、在界面右上角,单击“购买证书”,进入购买证书页面。
5、在购买证书页面,配置购买参数。
1)“证书类型”:选择“DV(Basic)”。
2)“证书品牌”:选择“DigiCert”。
3)“证书类型”和“证书品牌”选择后,“域名类型”、“域名数量”、“有效期”、“购买量”将自动生成,无需配置。
6、确认参数配置无误后,在页面右下角,单击“立即购买”。
7、确认订单无误后,阅读并勾选“我已阅读并同意《SSL证书管理(SCM)免责声明》”,单击“去支付”。
8、在购买页面,请选择付款方式进行付款。成功付款后,在SSL证书管理界面,可以查看证书列表中购买的证书。
步骤二:申请证书
成功购买证书后,您需要为证书绑定域名、填写证书申请人的详细信息并提交审核。
1、登录管理控制台。
2、单击页面左上方的,选择“安全与合规 > 云证书管理服务”,进入云证书管理界面。
3、在左侧导航栏选择“SSL证书管理”,进入SSL证书管理页面。
4、在证书列表中已购的免费证书所在行的“操作”列,单击“申请证书”。
5、在“申请证书”页面,填写域名信息和联系人信息。
1)填写域名信息,参数配置如表所示。
需要验证:
下载证书及证书转换:
1. 补全信息时,“证书请求文件”选择的“粘贴已有CSR”请参考以下步骤进行配置。
a. 单击“下载证书”,下载的文件包含了一个pem文件。
“server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。
b. 修改server.pem的后缀名为crt,和生成CSR时的私钥server.key放在一个文件夹内。
2. 补全信息时,“证书请求文件”选择的“在线生成CSR”请参考以下步骤进行配置。
a. 单击“下载证书”,下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件,如图所示。
b. 从Nginx文件夹内获得证书文件“server.crt ”和私钥文件“server.key”。
“server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。
“server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。
配置SSL证书
在Nginx
目录下新建certificate
目录,并将下载好的证书/私钥等文件上传至该目录(与配置文件同级目录)。
最后修改一下nginx.conf
文件即可,如下:
# ----------HTTPS配置-----------
server {
# 监听HTTPS默认的443端口
listen 443;
# 配置自己项目的域名
server_name www.xxx.com;
# 打开SSL加密传输
ssl on;
# 输入域名后,首页文件所在的目录
root html;
# 配置首页的文件名
index index.html index.htm index.jsp index.ftl;
# 配置自己下载的数字证书
ssl_certificate certificate/xxx.crt;
# 配置自己下载的服务器私钥
ssl_certificate_key certificate/xxx.key;
# 停止通信时,加密会话的有效期,在该时间段内不需要重新交换密钥
ssl_session_timeout 5m;
# TLS握手时,服务器采用的密码套件
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
# 服务器支持的TLS版本
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 开启由服务器决定采用的密码套件
ssl_prefer_server_ciphers on;
location / {
....
}
}
# ---------HTTP请求转HTTPS-------------
server {
# 监听HTTP默认的80端口
listen 80;
# 如果80端口出现访问该域名的请求
server_name www.xxx.com;
# 将请求改写为HTTPS(这里写你配置了HTTPS的域名)
rewrite ^(.*)$ https://www.xxx.com;
}
修改完成后保存配置文件,验证配置是否正确。
sbin/nginx -t
显示配置正确
重启nginx
nginx -s reload