🌧
第一章申请SSL证书
下载证书管理客户端KeyManager
申请SSL证书FreeSSL
验证类型可以选DNS,但时间较长短则几分钟长则几小时,以下使用文件验证的方式演示。打开后输入你在KeyManager客户端设置的密码后,点击继续我们就可以看到这个界面
登陆Nginx服务器创建验证文件夹
mkdir /usr/local/nginx/html/.well-known mkdir /.well-known/cpki-validation
返回浏览器下载txt文件并上传到刚刚创建的pki-validation文件夹中进行效验,注:中国、香
港、美丽国只要有一个地区匹配则代表验证通过
- 验证完后在工具箱导出证书
第二章 开启Nginx的ssl模块
2.1 开启443端口
firewall-cmd –zone=public –add-port=443/tcp –permanent
2.2 进入Nginx安装源
cd /usr/src/nginx-1.18.0
2.3 执行编译命令安装ssl,编译完之后使用make命令,不要使用make install,否则会覆盖安装
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
2.4 为防止出现奇怪问题,需对原有的Nginx进行备份
cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
cd /ust/local/nginx/sbin/进入目录关闭nginx./nginx -s stop
2.5 进入Nginx安装源把编译好的插件覆盖掉原有的nginx
cd /usr/src/nginx-1.18.0
cp ./objs/nginx /usr/local/nginx/sbin/
cd /usr/local/nginx/sbin/./nginx
第三章 修改Nginx.cof配置文件
3.1 解压KeyManager工具箱导出的Nginx证书
- 证书文件以.pem为后缀
- 密钥文件以.key为后缀
3.2 登陆Nginx服务器创建证书文件夹,Nginx默认证书安装目录为(/usr/local/nginx/conf/cert)也可以放在站点根目录
3.3 修改Nginx配置文件的server与https模块vi /usr/local/nginx/conf/nginx.conf
https模块修改如下
server {
listen 443 ssl;
server_name xfcblog.com;
root html;
index index.html index.htm;
ssl_certificate /home/www/yilia/xfcblog.com_chain.crt;
ssl_certificate_key /home/www/yilia/xfcblog.com_key.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
root /home/www/yilia;
index index.html index.htm;
}
}