Linux:Linux version 3.10.0-123.9.3.el7.x86_64
Nginx:nginx/1.6.3
openssl:1.0.1e
申請證書
目前網上有不少機構提供個人免費 ssl 證書,有效期幾個月到幾年不等。以 StartSSL :https://www.startssl.com 為例, 申請成功后有效期 3 年,到期后可免費續租。
具體申請過程也很簡單。
注冊登錄以后選擇 Certificates Wizard >> DV SSL Certificate 申請一個免費的 ssl 證書。
通過郵件驗證域名之后,然后在自己服務器中生成 SSL 證書的 csr , 記住生成輸入的秘密 ,之后要用到:
openssl req -newkey rsa:2048 -keyout weizhimiao.cn.key -out weizhimiao.cn.csr
將生成的證書,放到指定的存放證書的目錄,如 /data/secret/ 。查看證書 weizhimiao.csr 內容,將內容復制到頁面中的 Certificate Signing Request (CSR)部分,提交頁面。
下載生成好的證書,選擇對應的web服務器(Nginx,1_weizhimiao.cn_bundle.crt),這樣私鑰和公鑰我們就都有了。
nginx配置(為指定域名增加https)
nginx.conf當前配置
...http { ... include /etc/nginx/conf.d/*.conf; server { ... }}./conf.d/weizhimiao.cn.conf中加入
server{ listen 443 ssl; server_name weizhimiao.cn; ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt; ssl_certificate_key /data/secret/weizhimiao.cn.key; ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA !aNULL !eNULL !LOW !MD5 !EXP !DSS !PSK !SRP !kECDH !CAMELLIA !RC4 !SEED'; add_header Strict-Transport-Security 'max-age=31536000; preload'; add_header X-Frame-Options DENY; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; keepalive_timeout 70; ssl_dhparam /data/secret/dhparam.pem; add_header X-Content-Type-Options nosniff; add_header X-Xss-Protection 1; root /data/www/weizhimiao.cn; index index.html; location / { }}注:
配置中用到一個 /data/secret/dhparam.pem 文件,該文件是一個PEM格式的密鑰文件,用于TLS會話中。用來加強ssl的安全性。生成該文件方法,
cd /data/secret/openssl dhparam 2048 -out dhparam.pem
將原來80端口的訪問,重定向。./conf.d/weizhimiao.cn.conf中加入
server{ listen 80; server_name weizhimiao.cn; return 301 https://weizhimiao.cn$request_uri;}測試
檢測配置文件是否有語法錯誤,需要輸入之前生成公鑰時輸入的密碼。
nginx -tEnter PEM pass phrase:nginx: the configuration file /etc/nginx/nginx.conf syntax is oknginx: configuration file /etc/nginx/nginx.conf test is successful
重啟Nginx(切記,reload不起作用)
nginx -s stopEnter PEM pass phrase:nginxEnter PEM pass phrase:
瀏覽器訪問 weizhimiao.cn ,是否生效。
另,Nginx配置了安全證書之后,nginx每次的reload、stop等操作都需要輸入密碼。
可以通過生成一個解密的key文件,替代原來key文件。
cd /data/secret/openssl rsa -in weizhimiao.cn.key -out weizhimiao.cn.key.unsecure
替換 weizhimiao.cn.conf 中的 weizhimiao.cn.key 文件.
server { ... ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt; ssl_certificate_key /data/secret/weizhimiao.cn.key.unsecure; ...}之后每次在reload時,就不需要在輸入密碼了。
最后,用 SSLLABS 來進行一下測試。
結果
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持VEVB武林網。
新聞熱點
疑難解答
