在開發(fā)中為了安全起見,需要將http接口訪問變成https訪問���,所以需要配置SSL證書��,本篇文章重點為大家講解一下Nginx開啟 SSL具體方法。
專注于為中小企業(yè)提供成都做網(wǎng)站�����、網(wǎng)站建設�����、外貿(mào)營銷網(wǎng)站建設服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)吉州免費做網(wǎng)站提供優(yōu)質(zhì)的服務�����。我們立足成都��,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才�����,有力地推動了超過千家企業(yè)的穩(wěn)健成長�����,幫助中小企業(yè)通過網(wǎng)站建設實現(xiàn)規(guī)模擴充和轉變�����。
購買 SSL 證書
既然要加密提高網(wǎng)站安全級別,那么選擇一款性價比合適的 SSL 在所難免�����。SSL 證書購買途徑有很多�����,也有一些是免費的��,試過一些免費 SSL 證書但覺得續(xù)簽麻煩�,不太穩(wěn)定,也不安全����。國內(nèi) CA 機構 CFCA 中國金融認證中心 SSL 產(chǎn)品研發(fā)負責人也表示:網(wǎng)站管理人員及 CA 機構都應對免費證書持謹慎態(tài)度。因為付費的也不是很貴��,就選了比較常用的 Comodo PositiveSSL��,在 gogetssl 買比官網(wǎng)便宜不少����。
我們以 gogetssl 家的 Comodo PositiveSSL 證書為例,記錄 Nginx 配置安裝 ssl 證書的過程��,具體原理就不說了��。
準備證書
首先需要購買證書����,Comodo PositiveSSL,三年只要 9.65 美金�。
購買完成后,郵件會得到幾封郵件��,其中包含 key 代碼��、證書壓縮包等附件���,解壓之會得到 4 個文件���。AddTrustExternalCARoot.crt、COMODORSAAddTrustCA.crt����、COMODORSADomainValidationSecureServerCA.crt、www_91zll_net.crt�����,這就是我們要用到的證書了。
串聯(lián)證書
執(zhí)行合并命令生成新文件 ssl-bundle.crt
cat www_91zll_net.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt
生成私鑰
將剛才gogetssl 發(fā)的郵件里的 key 代碼��,即 —–BEGIN PRIVATE KEY—– 和 —–END PRIVATE KEY—– 之間的代碼(包含這兩行)復制保存為 91zll_net.key 文件����。利用 KEY私鑰格式轉換工具 來進行轉換一下,從PKCS8 Key 轉換為 RSA Key����。
創(chuàng)建一個證書存放路徑
mkdir -p /etc/ssl/private/
將前面生成的 91zll_net.key 和 ssl-bundle.crt 上傳服務器,一般放在 /etc/ssl/private/ 目錄下��。
修改 Nginx 配置
下面是我 nginx 關于 ssl 部分的配置����,因為要全局使用 https,故將 80 端口重定向到 https 下�����。
server {
listen 80;
server_name 91zll.ne www.91zll.net
location / {
rewrite (.*) https://www.91zll.net$1 permanent;
}
}
server {
listen 443 ssl;
server_name 91zll.net www.91zll.net;
ssl on;
ssl_certificate /etc/ssl/private/ssl-bundle.crt;
ssl_certificate_key /etc/ssl/private/91zll_net.key;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
}
具體參數(shù)的含義就不多說了��,請自行google���。使用前先測試一下��。
nginx -t
檢測沒問題后�,重啟 nginx
service nginx restart
分享標題:Nginx開啟SSL具體方法
分享URL:
http://uogjgqi.cn/article/ccsiscj.html
