快捷導(dǎo)航

在Nginx服務(wù)器下配置StartSSL和SSL的教程

更新時(shí)間：2015年07月08日 10:38:58 投稿：goldensun

這篇文章主要介紹了在Nginx服務(wù)器下配置StartSSL和SSL的教程,其中申請(qǐng)證書(shū)的步驟確實(shí)比較麻煩一些,不過(guò)出于安全考慮:p需要的朋友可以參考下

第一步申請(qǐng)本地證書(shū)

1. openssl 之類(lèi)的軟件我就不多說(shuō)，系統(tǒng)自帶的，如果不帶，自己 yum 下

[root@e2fsck ~]# openssl genrsa -des3 -out e2fsck.org.key 2048
Generating RSA private key, 1024 bit long modulus
………..++++++
………..++++++
e is 65537 (0×10001)
Enter pass phrase for e2fsck.org.key: 輸入密碼
Verifying – Enter pass phrase for e2fsck.org.key: 輸入密碼

[root@e2fsck ~]# openssl req -new -key e2fsck.org.key -out e2fsck.org.csr
Enter pass phrase for e2fsck.org.key: 輸入密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.', the field will be left blank.
—–

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:JS
Locality Name (eg, city) [Default City]:SZ
Organization Name (eg, company) [Default Company Ltd]:e2fsck
Organizational Unit Name (eg, section) []:e2fsck.org
Common Name (eg, your name or your server's hostname) []:*.e2fsck.org
Email Address []:root@e2fsck.org

Please enter the following ‘extra' attributes
to be sent with your certificate request
A challenge password []: 直接回車(chē)
An optional company name []: 直接回車(chē)

[root@e2fsck ~]# openssl rsa -in e2fsck.org.key -out e2fsck.org_nopass.key
Enter pass phrase for e2fsck.org.key: 輸入上面的密碼
writing RSA key

[root@e2fsck ~]# ls

e2fsck.org.csr e2fsck.org.key e2fsck.org_nopass.key

第二步去 startssl 申請(qǐng)免費(fèi)證書(shū)

1. 登錄官方網(wǎng)站 http://www.startssl.com/?app=0

2. 選擇 Control Panel（右上角）然后選擇 Express Lane（最下面的大圖標(biāo)）

3. 填寫(xiě)注冊(cè)信息（盡量真實(shí)，不然難通過(guò)），然后就去郵件等，是 2 封郵件，第二封郵件帶一個(gè)地址，登錄即可

4. 進(jìn)去后，做下一步之類(lèi)的簡(jiǎn)單事情后，選擇 Certificates Wizard

5. Certificate Target: 這里選擇 Web Server SSL/TLS Certificate

6. 這里選擇 Skip 因?yàn)?第一步的時(shí)候配置好了

7. 這里把第一步中的 e2fsck.org.csr 內(nèi)容粘貼到這里

8. 然后就是下一步，添加域名什么的簡(jiǎn)單的事情

9. 最后看到一段代碼就是 crt 證書(shū)了，保存下來(lái)，我這里取名為 e2fsck.org.crt 然后把它放到 /usr/local/nginx/conf 目錄（你放哪隨便）

10. 為了使部分瀏覽器能夠識(shí)別證書(shū)，還得把 CA 根證書(shū)與我們的證書(shū)和并

[root@e2fsck ~]# cd /usr/local/nginx/conf/   #我這里把證書(shū)都放在了這個(gè)目錄

[root@e2fsck conf]# wget http://cert.startssl.com/certs/ca.pem

[root@e2fsck conf]# wget http://cert.startssl.com/certs/sub.class1.server.ca.pem

[root@e2fsck conf]# cp e2fsck.org.crt e2fsck.org.bak   #先備份下

[root@e2fsck conf]# cat ca.pem sub.class1.server.ca.pem >> e2fsck.org.crt

然后編輯 e2fsck.org.crt 把里面的

—–END CERTIFICATE———-BEGIN CERTIFICATE—–

分開(kāi)，改成這樣

—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–

第三步配置 nginx.conf

主要是修改這段

復(fù)制代碼代碼如下:

server { listen 443; server_name www.e2fsck.org; index index.html index.htm index.php; ssl on; #主要是這段 ssl_certificate e2fsck.org.crt; ssl_certificate_key e2fsck.org_nopass.key; ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location ~ .php$ { #這一小段是為了 https 能解析 php root html; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; fastcgi_param HTTPS on; include fastcgi.conf; } if (-f $request_filename/index.html){ #如果非SSL做了偽靜態(tài)，這里也要 rewrite (.*) $1/index.html break; } if (-f $request_filename/index.php){ rewrite (.*) $1/index.php; } if (!-f $request_filename){ rewrite (.*) /index.php; } #location / { #root html; #index index.html index.htm index.php; #} }

然后重啟 nginx （如果以前沒(méi)配置過(guò) ssl，就一定要重啟， reload 沒(méi)用）

第四步測(cè)試 ssl

瀏覽器輸入 https://www.e2fsck.org 可以看到 ssl 已經(jīng)可以正常工作了

您可能感興趣的文章: