步骤一:获取SSL证书和中级CA根证书
1、证书通过CA(CA-证书颁发机构,比如Symantec(VeriSign)、GeoTrust、Thawte、GlobalSign等)以电子邮件的形式发送给客户。
2、复制嵌入邮件内容中的SSL证书信息,然后粘贴到Txt文本编辑器(比如:Notepad或vi) :
该文本文件应该像这样:
—–BEGIN CERTIFICATE—–
[encoded data]
—–END CERTIFICATE—–
确保有5个破折号(—–)在BEGIN CERTIFICATE 和 END CERTIFICATE的两侧,确保没有空格,多余的换行符或其他无意中加入的字符。
然后保存SSL证书文件(比如:ssl_certificate.crt文件(名称可以任意,后缀一般为*.crt或*.cer))。
3、如果邮件中包含中级CA根证书,请重复上述步骤2,保存中级CA根证书文件(比如:intermediateCA.crt文件(名称可以任意,后缀一般为*.crt或*.cer));如果邮件内容中未提供中级CA根证书或下载链接,请到官网下载或找易维信客服及技术支持提供。
步骤二:合并SSL证书和中级CA根证书
您需要合并SSL证书文件(比如:ssl_certificate.crt)和中级CA根证书文件(比如:intermediateCA.crt),成为单个的合并后的文件。
1、Windows系统下合并方式:用记事本打开您的SSL证书(比如:ssl_certificate.crt)文件和中级CA根证书(比如:intermediateCA.crt)文件,把中级CA根证书(比如:intermediateCA.crt)文件的内容复制、粘帖到SSL证书(比如:ssl_certificate.crt)文件内容的末尾,然后另存为一个单独文件(比如:server_yourdomain.cer 或 your_domain_name.crt),保证之。
2、Linux或unix等系统下合并方式:请运行如下的指令合并您的SSL证书(例如: ssl_certificate.crt ) 和中级CA根证书(比如:intermediateCA.crt ) 到一个PEM格式文件(比如:server_yourdomain.cer 或 your_domain_name.crt):
cat ssl_certificate.crt intermediateCA.crt >> server_yourdomain.cer
步骤三:配置Nginx服务器
1、编辑Nginx的配置文件(virtual hosts),在Nginx服务器上打开您需要保护的网站对应(Virtual host)的配置文件。请注意:如果你的网站需要安全(HTTPS)和非安全(HTTP)连接的访问,您将需要为每一个类型的连接设定服务器组件(server module)。
2、修改nginx.conf文件。Nginx的参数配置都在nginx.conf文件中,SSL配置也是如此,下面就是配置示例。在请复制现有非安全服务器组件的部分, 然后将其粘贴在原文下面,添加下面粗体部分:
server {
listen 443;
ssl on;
ssl_certificate /etc/ssl/server_yourdomain.cer;
# 在步骤二您所合并SSL证书和中级CA根证书的PEM文件
ssl_certificate_key /etc/ssl/server_yourdomain.key; #或者mykey.key,名字可以随便取
#私钥文件是当你生成证书请求文件(CSR) 的时候建立的mykey.key。(现:server_yourdomain.key)
server_name trustauth.cn;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM;
ssl_prefer_server_ciphers on;
access_log /var/log/nginx/nginx.vhost.access.log;
error_log /var/log/nginx/nginx.vhost.error.log;
location / {
root /home/www/public_html/trustauth.cn/public/;
index index.html;
}
}
配置参数说明如下:
- listen 443: SSL协议监听的端口,SSL协议缺省使用443端口。
- server_name: 指定SSL网站主机名。
- ssl on: SSL功能打开,采用SSL通信协议。
- ssl_certificate: 证书文件,server_yourdomain.cer
- ssl_certificate_key 私钥文件,server_yourdomain.key
- ssl_protocols 支持的SSL协议标准。启用TLS1.1、TLS1.2要求OpenSSL1.0.1及以上版本,若您的OpenSSL版本低于要求,请使用 ssl_protocols TLSv1;
3、请运行以下指令重新启动Nginx:
- sudo /etc/init.d/nginx restart (Linux或Unix系统下)
- windows 下,请输入:
nginx -s stop
nginx
如果您无法使用这些指令,建议查询Nginx Web服务器的供应商参考手册或者联系Nginx公司技术支持。
步骤四:测试SSL证书的安装
通过https方式访问您的站点,测试站点证书的安装配置。
如要确认您的SSL证书是否正确安装,请使用SSL-Checker
领取优惠
提交成功!