0%

Nginx配置SSL证书

🌧

第一章申请SSL证书

  1. 下载证书管理客户端KeyManager

  2. 申请SSL证书FreeSSL
    验证类型可以选DNS,但时间较长短则几分钟长则几小时,以下使用文件验证的方式演示。

  3. 打开后输入你在KeyManager客户端设置的密码后,点击继续我们就可以看到这个界面

  1. 登陆Nginx服务器创建验证文件夹

    mkdir /usr/local/nginx/html/.well-known
    mkdir /.well-known/cpki-validation
    
  2. 返回浏览器下载txt文件并上传到刚刚创建的pki-validation文件夹中进行效验,注:中国、香
    港、美丽国只要有一个地区匹配则代表验证通过

  1. 验证完后在工具箱导出证书

第二章 开启Nginx的ssl模块

2.1 开启443端口

firewall-cmd –zone=public –add-port=443/tcp –permanent

2.2 进入Nginx安装源

cd /usr/src/nginx-1.18.0

2.3 执行编译命令安装ssl,编译完之后使用make命令,不要使用make install,否则会覆盖安装

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

2.4 为防止出现奇怪问题,需对原有的Nginx进行备份

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
cd /ust/local/nginx/sbin/进入目录关闭nginx./nginx -s stop

2.5 进入Nginx安装源把编译好的插件覆盖掉原有的nginx

cd /usr/src/nginx-1.18.0
cp ./objs/nginx /usr/local/nginx/sbin/
cd /usr/local/nginx/sbin/./nginx

第三章 修改Nginx.cof配置文件

3.1 解压KeyManager工具箱导出的Nginx证书

  • 证书文件以.pem为后缀
  • 密钥文件以.key为后缀

3.2 登陆Nginx服务器创建证书文件夹,Nginx默认证书安装目录为(/usr/local/nginx/conf/cert)也可以放在站点根目录

3.3 修改Nginx配置文件的server与https模块vi /usr/local/nginx/conf/nginx.conf
https模块修改如下

server {
        listen       443 ssl;
        server_name  xfcblog.com;
        root html;
        index index.html index.htm;
        ssl_certificate  /home/www/yilia/xfcblog.com_chain.crt;
        ssl_certificate_key  /home/www/yilia/xfcblog.com_key.key;
        ssl_session_timeout  5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; 
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers  on;
        location / {
            root   /home/www/yilia;
           index  index.html index.htm;
        }
    }