1.服務器要開放443端口
2.找到華為雲證書管理服務,可以免費用一年
購買后進行相應的配置,下載即可
域名解析配置兩條,正常配置一條+按照華為雲要求配置一條
最后在nginx配置即可,重啟nginx
步驟1 下載證書及證書轉換
1. 補全信息時,“證書請求文件”選擇的“粘貼已有CSR”請參考以下步驟進行配置。
a. 單擊“下載證書”,下載的文件包含了一個pem文件。
“server.pem”文件包括兩段證書代碼“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。
b. 修改server.pem的后綴名為crt,和生成CSR時的私鑰server.key放在一個文件夾內。
2. 補全信息時,“證書請求文件”選擇的“在線生成CSR”請參考以下步驟進行配置。
a. 單擊“下載證書”,下載的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4個文件夾和1個“domain.csr”文件,如圖1-1所示。
圖1-1 解壓SSL證書
b. 從Nginx文件夾內獲得證書文件“server.crt ”和私鑰文件“server.key”。
“server.crt”文件包括兩段證書代碼“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。
“server.key”文件包括一段私鑰代碼“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。
步驟2 在Nginx的安裝目錄下創建cert目錄,並且將“server.key”和“server.crt”拷貝到nginx的“cert”目錄下。
步驟3 配置Nginx中conf同目錄下的“nginx.conf”文件。
修改如下參數:
ssl_certificatecert/server.crt;
ssl_certificate_keycert/server.key;
完整的配置如下,其余參數根據實際情況修改:
server {
listen443;
server_namewww.domain.com; #用戶服務器的域名
sslon;
ssl_certificatecert/server.crt;
ssl_certificate_keycert/server.key;
ssl_session_timeout5m;
ssl_protocolsTLSv1 TLSv1.1 TLSv1.2;
ssl_ciphersECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_cipherson;
location / {
roothtml; #站點目錄
indexindex.html index.htm;
}
}
注意:不要直接拷貝所有配置,參數中ssl開頭的屬性與證書配置有直接關系,其它參數請根據自己的實際情況修改。
參數說明,如表1-1所示。
表1-1 參數說明
| 參數 | 參數說明 |
|---|---|
| listen | SSL訪問端口號,設置為“443”。 |
| SSL | 設置為“on”,啟用SSL功能。 |
| ssl_certificate | 證書文件“server.crt”。 設置為“server.crt”文件的路徑,且路徑中不能包含中文字符, 例如“cert/server.crt”。 |
| ssl_certificate_key | 私鑰文件“server.key”。 設置為“server.key”的路徑,且路徑中不能包含中文字符, 例如“cert/server.key”。 |
| ssl_protocols | 使用的協議。 |
| ssl_ciphers | 配置加密套件,寫法遵循OpenSSL標准。 |
步驟4 修改完成后保存配置文件,驗證配置是否正確。
進入nginx執行目錄下,執行以下命令:
sbin/nginx -t
配置正確,回顯信息如下所示:
nginx.conf syntax is ok
nginx.conf test is successful
步驟5 重啟Nginx。
步驟6 通過https方式訪問您的域名,測試域名證書的安裝配置,如遇到證書安裝問題,請參考如何在Nginx上安裝SSL證書?