Nginx的CA证书使用总结 | nginx 根证书 服务器证书

Nginx的CA证书使用总结 | nginx 根证书 服务器证书

Nginx的CA证书使用总结:


今天给大家介绍下,在Nginx作为服务器时,网站的CA证书怎么添加?我们都知道,http方式通信是非常常见的,常用在对安全要求不高的站点的交互访问,那么对于有交易或存在敏感信息的网站,就需要我们使用http的另一变体https来替代,因为它基于http协议,并添加的ssl的安全处理,所以网站的交互数据是经过加密的,较安全,具体实现过程如下所示。

· 证书购买

· 证书配置

· 验证测试

· 特殊说明

一、证书购买

一般情况,申请证书时需要添加DNS解析,具体的步骤一般运营商都会给予详细说明,这里不进行赘述。当然,也需要填写证书保护的处理的域名,一般非免费的证书可以支持多个域名处理,免费的一般只能支持一个域名的设置

如果要使自己的网站支持https通信,并能被所有浏览识别支持,那么就需要自己申购证书,可以到阿里、万维网及其它证书运营商处申请购买,当然自己也可以制作CA证书,只不过不被浏览器识别,一般提示该证书未被认证。购买之后,一般不需要额外的证书再配置,比如:在阿里购买的证书一般包含三个文件

214087265700561.key、

214087265700561.pem、

214087265700561.pfx、

pfx-password.txt,

并且前三者文件名称相同,密码文件默认一串pfx数字密码。

二、证书配置

在Nginx中,如果要添加CA证书支持,就需要开启对http的ssl安全加密处理模块,也就是with-http_ssl_module的支持。另外,需要重新编译Nginx源码,将前面的模块引入进来,最后,在替换Nginx的二进制启动文件,重新加载启动Nginx即可生效。

1、建立cert目录

cd /usr/local/nginx/conf

mkdir cert

进入nginx配置根目录,并建立cert目录,将所有CA证书文件放入其中即可。

2、添加SSL支持

cd /home/nginx-1.8.1

首先,查看下Nginx当前参数

nginx -V

其次,复制这些参数添加对with-http_ssl_module支持,并执行

./configure --prefix=/usr/local/nginx--with-http_stub_status_module --add-module=./src/nginx-http-concat-master--with-http_ssl_module

然后,make编译Nginx源码(不要makeinstall,否则覆盖了),并替换二进制nginx文件

make

在替换二进制nginx文件前,需要停掉正在运行的nginx服务,后再替换:

nginx -s stop

cp objs/nginx /usr/local/nginx/sbin/

重新启动即可:

nginx


3、nginx.conf配置

完成了对ssl的支持后,就是对nginx.conf核心配置文件进行配置了,主要是开启443 ssl端口及服务的监听,以及开启ssl和证书相关的配置,具体如下:

cd /usr/local/nginx/conf/nginx.conf

vim nginx.conf

添加如下内容:

ssl on;

ssl_certificate cert/214087265700561.pem;

ssl_certificate_key cert/214087265700561.key;

ssl_session_timeout 5m;

第一行,开启对http协议的ssl处理;

第二行,指定pem密钥文件位置

第三行,指定证书的key文件位置;

第四行,设置ssl的session超时时间为5分钟;

4、http到https转发

cd /usr/local/nginx/conf/nginx.conf

vim nginx.conf

添加如下内容,使http默认访问方式自动跳转到https协议方式:

if ($scheme = http) {

return 301https://$server_name$request_uri;

}

三、验证测试

如何验证是否支持https加密通信协议?我们只需要打开任何浏览器,并在地址栏中输入我们证书所关联的域名即可。此时,如果添加成功,那么会在浏览器域名左边或其它位置出现一个锁的图标或安全的字样(不同浏览器略有不同),具体如下:


四、特殊说明

1、同时支持http和https

如何同时支持http和https?其实很简单,我们只需要将ssl on;注释掉。

2、多个域名的SSL处理

多个域名的SSL配置与上面的配置相同,比如:一个主机和多个虚拟主机的域名处理,上面演示的是主机的配置,而虚拟机中的配置也是相同的。如果所购买的证书为非免费型的证书,那么一个证书可以同时支持多个域名,比如:一级域名已经配置了,那么二级域名就可以不用再配置了。

免责声明:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
相关文章
返回顶部