Nginx 服务器开启 SSL

服务器
SSL 证书购买途径有很多,也有一些是免费的,试过一些免费 SSL 证书但觉得续签麻烦,不太稳定,也不安全。

 [[184686]]

购买 SSL 证书

既然要加密提高网站安全级别,那么选择一款性价比合适的 SSL 在所难免。SSL 证书购买途径有很多,也有一些是免费的,试过一些免费 SSL 证书但觉得续签麻烦,不太稳定,也不安全。国内 CA 机构 CFCA 中国金融认证中心 SSL 产品研发负责人也表示:网站管理人员及 CA 机构都应对免费证书持谨慎态度。因为付费的也不是很贵,就选了比较常用的 Comodo PositiveSSL,在 gogetssl 买比官网便宜不少。

[[184687]]

 

我们以 gogetssl 家的 Comodo PositiveSSL 证书为例,记录 Nginx 配置安装 ssl 证书的过程,具体原理就不说了。

准备证书

首先需要购买证书,Comodo PositiveSSL,三年只要 9.65 美金。

 

购买完成后,邮件会得到几封邮件,其中包含 key 代码、证书压缩包等附件,解压之会得到 4 个文件。AddTrustExternalCARoot.crt、COMODORSAAddTrustCA.crt、COMODORSADomainValidationSecureServerCA.crt、www_91zll_net.crt,这就是我们要用到的证书了。

串联证书

执行合并命令生成新文件 ssl-bundle.crt

cat www_91zll_net.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt

生成私钥

将刚才gogetssl 发的邮件里的 key 代码,即 —–BEGIN PRIVATE KEY—– 和 —–END PRIVATE KEY—– 之间的代码(包含这两行)复制保存为 91zll_net.key 文件。利用 KEY私钥格式转换工具 来进行转换一下,从PKCS8 Key 转换为 RSA Key。

创建一个证书存放路径

mkdir -p /etc/ssl/private/

将前面生成的 91zll_net.key 和 ssl-bundle.crt 上传服务器,一般放在 /etc/ssl/private/ 目录下。

修改 Nginx 配置

下面是我 nginx 关于 ssl 部分的配置,因为要全局使用 https,故将 80 端口重定向到 https 下。

server {

listen 80;

server_name 91zll.ne www.91zll.net

location / {

rewrite (.*) https://www.91zll.net$1 permanent;

}

}

server {

listen 443 ssl;

server_name 91zll.net www.91zll.net;

ssl on;

ssl_certificate /etc/ssl/private/ssl-bundle.crt;

ssl_certificate_key /etc/ssl/private/91zll_net.key;

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8 8.8.4.4 valid=300s;

resolver_timeout 5s;

ssl_session_cache shared:SSL:10m;

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

ssl_prefer_server_ciphers on;

}

具体参数的含义就不多说了,请自行google。使用前先测试一下。

nginx -t

检测没问题后,重启 nginx

service nginx restart

责任编辑:武晓燕 来源: linuxprobe
相关推荐

2009-08-26 22:35:20

2009-08-14 16:09:12

2009-08-26 23:13:44

2019-01-10 11:12:15

Nginx服务器架构

2019-09-10 15:22:17

Nginx服务器架构

2019-12-24 14:42:51

Nginx服务器架构

2020-05-12 21:17:18

Nginx服务器架构

2021-09-10 10:07:17

Nginx虚拟主机服务器

2009-08-26 22:37:46

服务器证书SSL

2010-02-06 10:24:52

CentOS Ngin

2018-02-08 08:52:37

2021-01-29 14:41:43

Nginx直播服务器rtmp

2021-04-26 05:38:50

Nginxssl

2014-08-06 09:15:56

NGINX完美前向保密

2017-12-27 10:18:09

ApacheNginx服务器

2021-07-28 23:32:09

Nginx服务器Https

2020-04-15 20:57:57

NginxWeb服务器

2010-03-24 19:21:55

Nginx服务器

2018-11-05 09:34:43

2010-05-18 16:07:35

点赞
收藏

51CTO技术栈公众号