以 comodo positivessl 證書為例,您將收到四份檔案:
您要依照網域名稱證書 -> 中間證書 -> 根證書的順序串聯為證書鏈,才能被絕大多數瀏覽器信任。使用cat命令串聯證書:
cat example_com.crt comodorsadomainvalidationsecureserverca.crt comodorsaaddtrustca.crt addtrustexternalcaroot.crt > example_com.bundle.crt
得到example_com.bundle.crt後,和金鑰檔案example_com.key一同上傳至伺服器並儲存在安全的位置,例如/etc/ssl/private目錄下(沒有此目錄請建立)。
修改 nginx 站點配置
下面是乙份針對較新版本的 nginx 的 ssl 部分配置,請將其新增到站點配置檔案中server的部分,並根據注釋和您的需求修改。
listen 443 ssl; #偵聽埠
#listen [::]:443 ssl ipv6only=on; # 如果您希望同時偵聽 ipv6,請取消此行注釋
server_name example.com;
#請改為您的網域名稱
ssl_certificate /etc/ssl/private/example_com.bundle.crt; #
證書鏈ssl_certificate_key /etc/ssl/private/example_com.key; #
金鑰ssl_protocols tlsv1.2 tlsv1.1 tlsv1; #
支援的協議,windows xp 不支援
ssl_prefer_server_ciphers on; #
啟用 forward secrecy
ssl_ciphers "
eecdh+ecdsa+aesgcm eecdh+arsa+aesgcm eecdh+ecdsa+sha384 eecdh+ecdsa+sha256 eecdh+arsa+sha384 eecdh+arsa+sha256 eecdh+arsa+rc4 eecdh edh+arsa !anull !enull !low !3des !md5 !exp !psk !srp !dss !rc4";
keepalive_timeout 70;
ssl_session_cache shared:ssl:10m;
ssl_session_timeout 10m;
如果您希望至少支援一些老式瀏覽器,並且在能夠使用 ecdhe 時盡可能使用此演算法,您可以使用下面的配置:
ssl_ciphers "eecdh+ecdsa+aesgcm eecdh+arsa+aesgcm eecdh+ecdsa+sha384 eecdh+ecdsa+sha256 eecdh+arsa+sha384 eecdh+arsa+sha256 eecdh+arsa+rc4 eecdh edh+arsa rc4 !anull !enull !low !3des !md5 !exp !psk !srp !dss +rc4 rc4
";
或者使用最簡單的方案:
ssl_ciphers "eecdh+arsa+aes
";
生成 dhe 引數
為了避免使用 openssl 預設的 1024bit dhe 引數,我們需要生成乙份更強的引數檔案:
cd /etc/ssl/certsopenssl dhparam -out dhparam.pem 4096
建議您使用效能強勁的平台生成此檔案,例如最新版的至強物理機。如果您只有一台小型 vps,請使用openssl dhparam -out dhparam.pem 2048命令生成 2048bit 的引數檔案。
完成後,在 ssl 配置下新增一行:
ssl_dhparam /etc/ssl/certs/dhparam.pem;
啟用 hsts
http strict transport security (hsts) 可以使瀏覽器第一次訪問您的站點後即記住僅通過 https 與您的站點通訊,可以大大提公升安全性。
在 ssl 配置下新增:
add_header strict-transport-security max-age=63072000;add_header x-frame-options deny;
add_header x-content-type-options nosniff;
強制定向到 https
您需要乙個單獨server配置用於偵聽 http 80 埠,然後所有傳送到這裡的請求定向到 https 協議。
server}
或者使用rewrite:
rewrite ^ permanent; #請將 example.com 改為您的網域名稱
乙份完整樣例
這裡是基於 nginx 1.4.6 的乙份完整配置樣例。請根據您的需求修改使用。
serverserver
}
配置ssl證書 Apache配置SSL證書指引
1 使用yum安裝apache yum install httpd y2 修改測試頁面 vim var www html index.hemlps 修改為測試內容,我這裡修改的是 this is a test page.3 啟動服務 service httpd start4 訪問測試 1 安裝ssl...
linux下nginx配置SSL證書
1.新建證書存放路徑 usr local nginx目錄下 mkdir ssl 2.生成乙個rsa私鑰 usr local nginx ssl目錄下 openssl genrsa des3 out yangwanli.key 1024 其中 yangwanli可以自定義 輸入密碼後,再次重複輸入確認...
Linux 配置HTTPS,獲取ssl證書
這裡小倉鼠將https配置流程記錄下來 1 訪問 2 選擇 立即購買 3 頁面變換為 4 點選 立即購買 5 進行支付 6 進入控制台,進行申請證書,進行相關填寫,進行驗證 注意 9 我們通過軟體 例如winscp 將檔案放進nginx根目錄下 先在根目錄下建立cert資料夾 修改許可權為775 再...