摘要:操作流程第一步,生成文件和文件第二步,提交文件到機(jī)構(gòu)第三步���,拿到文件第四步����,三個文件放到目錄下第五步�����,修改文件也可以不監(jiān)聽端口看需要一般的形式就配置好了為了更安全�,可以考慮使用迪菲赫爾曼密鑰交換然后在配置的后面加上下面的配
操作流程
第一步,生成csr文件和key文件
$ cd /etc/ssl/private
$ openssl req -new -newkey rsa:2048 -sha256 -nodes -out maketea_loc.csr -keyout maketea_loc.key -subj "/C=CN/ST=Beijing/L=Beijing/O=maketea Inc./OU=Web Security/CN=*.maketea.loc"
第二步�����,提交csr文件到CA機(jī)構(gòu)
第三步��,拿到crt文件
第四步�����,maketea_loc.csr maketea_loc.key maketea_loc.crt 三個文件放到/etc/ssl/private目錄下
第五步����,修改nginx文件
server {
listen 80;#也可以不監(jiān)聽80端口 看需要
listen 443 ssl;
server_name www.maketea.loc;
ssl on;
ssl_certificate /etc/ssl/private/maketea_loc.crt;
ssl_certificate_key /etc/ssl/private/maketea_loc.key;
}
一般的SHA-1形式https就配置好了
為了更安全 �,可以考慮使用迪菲-赫爾曼密鑰交換
$ cd /etc/ssl/certs
$ openssl dhparam -out dhparam.pem 2048
然后在nginx ssl配置的后面加上下面的配置
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
keepalive_timeout 70;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
同時����,如果是全站 HTTPS 并且不考慮 HTTP 的話,可以加入 HSTS 告訴你的瀏覽器本網(wǎng)站全站加密�,并且強(qiáng)制用 HTTPS 訪問
add_header Strict-Transport-Security max-age=63072000;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
同時也可以多帶帶開一個 Nginx 配置,把 HTTP 的訪問請求都用 301 跳轉(zhuǎn)到 HTTPS
server {
listen 80;
server_name www.maketea.loc;
return 301 https://www.maketea.loc$request_uri;
}
頒發(fā)證書的機(jī)構(gòu)
目前一般市面上針對中小站長和企業(yè)的 SSL 證書頒發(fā)機(jī)構(gòu)有:
StartSSL
Comodo / 子品牌 Positive SSL
GlobalSign / 子品牌 AlphaSSL
GeoTrust / 子品牌 RapidSSL
其中 Postivie SSL�����、AlphaSSL�����、RapidSSL 等都是子品牌���,一般都是三級四級證書���,所以你會需要增加 CA 證書鏈到你的 CRT 文件里���。
以 Comodo Positive SSL 為例��,需要串聯(lián) CA 證書��,假設(shè)你的域名是 example.com
那么�,串聯(lián)的命令是
$ cat example_com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > example_com.signed.crt
在 Nginx 配置里使用 example_com.signed.crt 即可
級聯(lián)問題
有些時候,由第三方機(jī)構(gòu)簽發(fā)的證書在瀏覽器上是OK的����,但是到了例如安卓端會不認(rèn)這個證書,Nginx官方是這樣說的
Some browsers may complain about a certificate signed by a well-known certificate authority, while other browsers may accept the certificate without issues. This occurs because the issuing authority has signed the server certificate using an intermediate certificate that is not present in the certificate base of well-known trusted certificate authorities which is distributed with a particular browser. In this case the authority provides a bundle of chained certificates which should be concatenated to the signed server certificate. The server certificate must appear before the chained certificates in the combined file
就是說需要有個中間證書
一般類似godaddy這種機(jī)構(gòu)會提供這個證書給你���,你要做的就是把這個串放在crt文件的后面��,做成一個新的crt�,就可以正常使用了
$ cat nginx.crt bundle.crt > nginx.chain.crt
測試的時候自簽證書的方法
$ openssl ca -in nginx.csr -out nginx.crt
參考文獻(xiàn)
https://s.how/nginx-ssl/
http://www.cnblogs.com/chjbbs...
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/39412.html
