SSL证书CSR生成及安装指南-Nginx

    文章来源:万象互联 更新时间:2017-8-8 16:25:15
分享:

Nginx 服务器证书安装配置指南
在申请数字证书之前,您必须先生成证书私钥和证书请求文件 (CSR, Certificate Signing Request), CSR 是您的公钥证书原始文件,包含了您的服务器信息和您的单 位信息,需要提交给 CA 认证中心。请妥善保管和备份您的私钥。SSL 证书是数字证 书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称 为 SSL 服务器证书。SSL 证书就是遵守 SSL 协议,在验证服务器身份后颁发,具有服 务器身份验证和数据传输加密功能。
此指南将分成 4 个主题:
1.  生成证书请求文件(CSR)
2.  安装服务器证书
3.  关闭丌安全的加密方式 (cipher)
4.  设置 http 跳转到 https

第一步:证书签章要求 (CSR) 产生说明

1.   安装 openssl(加密工具)

 

2. 证书私钥和证书请求文件(CSR)

 

从 Email 地址开始,下面的信息都丌需要,请保留为空,直接回车即可。在完成了如上
的交互信息输入后,当前目录下将产生两个文件:.key (公钥) 和 .csr (私钥)。请妥善保 存这两个文件,请丌要泄露私钥文件.
详细介绍命令:


2.  验证您的证书签章要求
https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp

请确保  Signature algorithm: SHA256

 

3.   提交 CSR 给商服
请保管好 server.key 私钥文件,提交 CSR 等待证书签发 .


第二步:安装服务器证书
证书是审核完毕后您将会收到 ”服务器证书代码”。中级 CA 证书代码可透过服务商网页下载。 为保障保障服务器证书在客户端的兼容性,服务器证书代码 不 中级 CA 证书代码 需要合并, 再安装服务器。丼例:服务器证书代码 档名为 domain.crt 、中级 CA 证书代码档名为 ca_intermediate.crt

domain.crt


ca_intermediate.crt

 
合并 domain.crt 、ca_intermediate.crt 为 domain.crt


1、  修改 nginx.conf 文件
Nginx 的参数配置都在 nginx.conf 文件中,SSL 配置也是如此,下面就是配置举 例:

 

配置参数说明如下:
在 Nginx 下的证书备份是非常简单的,打开 nginx.conf 文件,找到 ssl_certificate 和 ssl_certificate_key 指定的 2 个文件,通常是.cer(.crt)和.key 文件,将这两个文 件复制到备份媒质上即可。
listen 443:SSL 协议监听的端口,SSL 协议缺省使用 443 端口。
server_name:指定 SSL 网站主机名。
ssl on:SSL 功能打开,采用 SSL 通信协议。 ssl_certificate:证书文件,server.crt ssl_certificate_key:私钥文件,server.key ssl_verify_client on: 要求 SSL 客户证书认证。 ssl on:SSL 功能打开,采用 SSL 通信协议。 ssl_verify_depth 1:  SSL 客户证书认证链长度。

2、  重新启劢 nginx

 


第三步:关闭不安全的加密方式 (cipher)

1. 在提高网络服务器的 SSL 证书部署优化方面,我们通常建议系统管理员使用更 加安全的加密套件,对于这一点,我们提出对常见的服务器支持的方案。打开 目录下  nginx.conf  文件在配置文件中加入(适用于 nginx 1.0.6 和 1.1.0 ):


第四步:设置 http 自动跳转到 https

nginx 配置 SSL 证书之后,配置如下:

 

http 访问的时候,报错如下:
400 Bad Request
The plain HTTP request was sent to HTTPS port. Sorry for the inconvenience. Please report this message and include the following information to us.
Thank you very much!

说是 http 的请求被发送到 https 的端口上去了,所以才会出现这样的问题。


把 ssl on;这行去掉,ssl 写在 443 端口后面。这样 http 和 https 的链接都可以用, ****解决。

版权说明:本站原创文章,由域名查询发表.
本文地址:https://www.hulian.top/help/1018.html
在线咨询
  • 在线时间
  • 8:00-21:00