nginx ssl證書安裝配置

原理圖:

- 客戶端生成一個隨機數 random-client,傳到服務器端（Say Hello)

- 服務器端生成一個隨機數 random-server,和着公鑰,一起回饋給客戶端（I got it)

- 客戶端收到的東西原封不動，加上 premaster secret（通過 random-client、random-server 經過一定算法生成的東西）,再一次送給服務器端,這次傳過去的東西會使用公鑰加密

- 服務器端先使用私鑰解密,拿到 premaster secret,此時客戶端和服務器端都擁有了三個要素:random-client、random-server 和 premaster secret

- 此時安全通道已經建立,以后的交流都會校檢上面的三個要素通過算法算出的 session key

 

第一步、生成證書請求文件(可選1024 2048位)

如果使用-des3參數,將會需要輸入密碼對私鑰進行加密,如不需要對私鑰加密請不要使用-des3選項

輸入兩次密碼后,將會生成server.key私鑰文件

運行如下命令生成證書請求文件(CSR)

openssl req -new -key server.key -out server.csr

 

接下來提示輸入私鑰密碼和申請證書的詳細信息

從Email地址開始,下面的信息都不需要,請保留為空,直接回車即可

需要輸入的信息說明請見下表：

字段	說明	示例
Country Name	ISO國家代碼（兩位字符）	CN
State or Province Name	所在省份	Shanghai
Locality Name	所在城市	Shanghai
Organization Name	公司名稱	GlobalSign China Co., Ltd.
Organizational Unit Name	部門名稱	IT Dept.
Common Name	申請證書的域名	Cn.globalsign.com
Email Address	不需要輸入
A challenge password	不需要輸入

 

 完成以上的操作會在對應的目錄下生成server.key和server.csr

 

第二步:提交CSR,申請證書(我們申請是域名型通配符證書)

把csr文件發給證書廠商 廠商會發給你三個文件(根證書(root.cer) 中級證書(dvrootSHA256.cer) ssl服務證書(server.cer))

 

第三步:獲取服務器證書

合並ssl服務證書和中級證書(把中級證書的內容追加到ssl服務證書的尾部)

 

第四步:更新nginx配置文件(nginx必須有ssl模塊 --with-http_ssl_module)(指令必須配置在server段 nginx對證書有讀的權限)

server {

listen 443;

server_name www.domain.com;

ssl on;

ssl_certificate /etc/ssl/server.cer; //公鑰文件(Globalsign頒發的證書)

ssl_certificate_key /etc/ssl/server.key; //私鑰文件 

ssl_session_timeout 5m;

ssl_protocols SSLv2 SSLv3 TLSv1;

ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; ssl_prefer_server_ciphers on;

location / { root html; index index.html index.htm; }

}

按照以上的步驟配置完成后,重新啟動Nginx(如果有設置server.key私鑰密碼，這時會提示輸入)后就可以使用https://www.domain.com來訪問了