热门资讯

免费SSL
- 资源
- 教程
- 工具
- 百科
- 资讯
品牌
- DigiCert
- Symantec
- RapidSSL
- Geotrust
- TrustAsia
- ComodoSSL
- Globalsign
- ThawteSSL
- Let‘s Encrypt

Nginx服务器证书部署

教程作者：技术栈 2021-05-11 17:55:24 阅读：2085

依赖建议

l SSL卸载驱动。建议：openssl版本1.1.0f+。

l nginx版本Stable version：最新稳定版，生产环境上建议使用的版本。

获取证书

MPKI方式：

1. 登录https://mpki.trustasia.com。

2. 证书下载pem（nginx SLB）格式，会得到一个zip的压缩包，解压后有两个文件，分别是crt和key后缀。

非MPKI方式：

1. CSR对应的key文件

2. 证书邮件里提取代码，把-----BEGIN CERTIFICATE-----到-----END CERTIFICATE-----（包括开头和结尾，不用换行）复制到txt文本文件里，然后保存为crt后缀；这样也就获取到nginx用的2个文件了。

SSL相关配置

到nginx的conf目录，找到nginx.conf文件，修改或者配置这样一段

server {    listen 80 default_server;    listen [::]:80 default_server;    # 强制跳转    return 301 https://$host$request_uri;} server {    listen 443 ssl http2;    listen [::]:443 ssl http2;   #IPv6支持     #RSA证书    ssl_certificate /xxx/xx/rsa.pem;    ssl_certificate_key /xxx/xx/rsa.key;    #ECC证书，可选,需要1.11版本支持    ssl_certificate /xxx/xx/ecc.pem;;    ssl_certificate_key /xxx/xx/ecc.key;;    ssl_session_timeout 1d;    ssl_session_cache shared:SSL:50m;    ssl_session_tickets off;    # A+级配置.    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';    ssl_prefer_server_ciphers on;    # HSTS (需要编译带ngx_http_headers_module模块) (15768000 秒= 6 月)    add_header Strict-Transport-Security max-age=15768000;    # OCSP Stapling 装订    ssl_stapling on;    ssl_stapling_verify on;}

下面为配置文件参数说明：

listen 443

SSL访问端口号为443

ssl on

启用SSL功能

ssl_certificate

证书文件server.crt

ssl_certificate_key

私钥文件server.pem

ssl_protocols

使用的协议

ssl_ciphers

配置加密套件，写法遵循openssl标准

配置完成后，先用sbin/nginx –t来测试下配置是否有误，正确无误的话，建议重启nginx。

http跳转https（建议而非强制）

对于用户，不是不知道https，就是知道https也因为懒，不愿意输入https。这样就有一个需求，让服务器自动把http的请求重定向到https。

在服务器这边的话配置的话，可以在页面里加js脚本，也可以在后端程序里写重定向，当然也可以在web服务器来实现跳转。Nginx是支持rewrite的（只要在编译的时候没有去掉pcre）

在http的server里

增加

return 301 https://$host$request_uri;

或者

rewrite ^(.*) https://$host$1 permanent;

这样就可以实现80进来的请求，重定向为https了。

检测

https的端口没做限制后（防火墙放行，端口转发正常），到https://myssl.com进行检测

评级达到B以上，在安全和兼容方面是较不错的。

延伸阅读

网最低价SSL证书iTrustSSL的三大核心竞争力

当前网络安全形势日益严峻，全球网站HTTPS加密覆盖率已超过90%。传统SSL证书动辄上千元的年费让中小企业望而却步，而免费证书又存在兼容性差、有效期短等痛点。iTrustSSL通过技术创新和规模化运
acme.sh让SSL证书管理自动化，从申请到续期一键搞定

acme.sh是一个纯Shell实现的Let's Encrypt客户端，特点鲜明：轻量简单• 纯Shell脚本，无需安装依赖• 所有操作都在一个脚本搞定• 安装包只有几百KB• 支持Docke
鲁大师启用iTrust SSL加密证书

鲁大师启用iTrust SSL加密证书，是其在网络安全领域的一项重要升级，旨在通过加密技术保障用户数据传输的安全性和提升平台可信度。以下从多个维度为您解析这一举措：一、启用iTrust SSL证书的核

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/

*文章为作者独立观点，不代表 SSLHUB 立场

本文由技术栈发表，转载此文章须经作者同意，并请附上出处( SSLHUB )及本页链接。

原文链接 https://www.sslhub.cn/freessl/tutorial/782.html

SSL SSL证书 HTTPS HTTPS证书 Nginx

关注KnowSafe微信公众号
随时掌握互联网精彩

Nginx服务器证书部署

依赖建议

获取证书

SSL相关配置

http跳转https（建议而非强制）

检测

网最低价SSL证书iTrustSSL的三大核心竞争力

acme.sh让SSL证书管理自动化，从申请到续期一键搞定

鲁大师启用iTrust SSL加密证书