生成nginx使用的HTTPS证书是一个相对简单的过程,但确保正确配置非常重要,以确保网站的安全性和稳定性。下面是一个全面的指南,帮助您生成适用于nginx的HTTPS证书。
一、准备工作
在开始生成HTTPS证书之前,您需要准备以下工具和环境:
1. 安装OpenSSL:OpenSSL是用于生成证书的工具。在Linux上,您可以使用包管理器(如apt或yum)安装OpenSSL。在Windows上,您可以下载OpenSSL的可执行文件并添加到系统路径中。
2. 购买或获取SSL证书:您可以从权威的证书颁发机构(CA)购买SSL证书,或者如果您是开发或测试目的,可以使用自签名证书。自签名证书在生产环境中不推荐使用,因为它们可能不被广泛接受为安全的证书。
二、生成私钥和证书签名请求(CSR)
1. 生成私钥:使用OpenSSL生成私钥文件。在命令行中执行以下命令:
“`shell
openssl genpkey -algorithm RSA -out private.key
“`
这将生成一个名为private.key的私钥文件。
2. 生成CSR:使用私钥文件生成证书签名请求(CSR)。
执行以下命令时,将被要求提供一些信息,如国家、组织、常用名等。
“`shell
openssl req -new -key private.key -out certificate.csr
“`
这将生成一个名为certificate.csr的CSR文件。
三、获取证书
如果您购买了SSL证书,证书颁发机构将提供您所需的证书文件。
如果您使用自签名证书,您可以自行签署CSR文件并生成证书。
如果您选择自行签署CSR,可以使用以下命令:
“`shell
openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out certificate.crt
“`
这将生成一个名为certificate.crt的证书文件,有效期为一年。
四、配置nginx使用HTTPS证书
1. 将私钥和证书文件复制到服务器:将生成的私钥(private.key)和证书(certificate.crt)文件复制到您的服务器上。
2. 配置nginx:打开nginx的配置文件(通常是/etc/nginx/nginx.conf或/etc/nginx/conf.d/default.conf),进行以下配置更改:
在配置文件中找到您的服务器块(通常称为server),并在其中添加以下配置:
“`nginx
server {
listen443 ssl;
server_name your_domain.com; 替换为您的域名
ssl_certificate /path/to/certificate.crt; 替换为您的证书文件路径
ssl_certificate_key /path/to/private.key; 替换为您的私钥文件路径
…
}
“`
确保将your_domain.com替换为您的域名,并将/path/to/certificate.crt和/path/to/private.key替换为您的实际文件路径。
3. 重启nginx:保存并关闭配置文件后,使用以下命令重启nginx以使配置生效:
“`shell
sudo service nginx restart 对于使用systemd的系统,如Ubuntu或CentOS 7+等版本。如果使用的是其他系统或服务管理器,请相应地进行更改。如系统没有systemd管理时也可以采用Nginx配置文件目录下的nginx启动脚本或找到可执行文件的绝对路径后通过./命令进行重启操作等处理方式)。或者在修改完Nginx的配置文件后先运行下检查配置文件的命令(命令通常样式为nginx -t)。如果在查看没有提示错误信息就表示修改配置无误的情况下方可运行重载配置的命令否则可能造成服务器的服务异常)。确认无误后重启Nginx服务即可生效。另外如果服务器使用的是Nginx自带的自签名的SSL证书的话可能需要在客户端浏览器上添加信任否则浏览器会提示不安全连接导致网页访问被中断甚至阻止了网站信息的传输!所有有配套的HTTPS支持等安全防护的访问规则或者条款还必须支持SSL证书的自动更新和续期以保证服务的长期稳定运行和安全防护能力!如果服务器部署的是多个站点的话可能需要在Nginx的配置文件中新增对应的服务器站点块并根据各自网站的配置情况进行修改或者复用上述示例代码来完成不同站点的配置保护。如果不清楚具体如何进行配置操作的话建议咨询专业的运维人员或者网络安全专家进行指导和帮助!确保服务器安全稳定运行!另外如果服务器已经开启了防火墙的话还需要确保防火墙规则允许了HTTPS端口通过HTTPs协议传输数据的访问权限! (翻译后内容为:“在完成上述操作后,重启nginx以使新的配置生效。确认无误后,确保服务器的防火墙规则允许HTTPS端口通过HTTPS协议传输数据的访问权限。如果服务器部署了多个站点,需要根据每个站点的配置情况进行相应的配置保护。如果不清楚具体如何进行配置操作,建议咨询专业的运维人员或网络安全专家进行指导。)”。在这里强调一点就是在生产环境中绝对不建议使用自签名SSL证书部署HTTPS服务!)])。完成上述所有步骤后,您的网站就已经
如何在CentOS 7上为Nginx创建自签名的SSL证书
1. 生成自签名的证书通常要配置 https 的服务器,都需要一个由正式的 CA 机构认证的 X509 证书。
当客户端连接 https 服务器时,会通过 CA 的共钥来检查这个证书的正确性。
但要获得 CA 的证书是一件很麻烦的事情,而且还要花费一定的费用。
因此通常一些小的机构会是使用自签名的证书。
也就是自己做 CA,给自己的服务器证书签名。
这个过程有两个主要的步骤,首先是生成自己的 CA 证书,然后再生成各个服务器的证书并为它们签名。
我是用 OpenSSL 来生成自签名证书的。
第一步是制作 CA 的证书:openssl genrsa -des3 -out 2048openssl req -new -x509 -days 3650 -key -out 这会生成 和 文件,前者存放着使用 制作签名时必须的密钥,应当妥善保管。
而后者是可以公开的。
上面的命令为 设定的有效期为 10 年。
用命令openssl x509 -in -text -noout可以查看 文件的内容。
有了 CA 证书之后,就可以为自己的服务器生成证书了:openssl genrsa -des3 -out 1024openssl req -new -key -out x509 -req -in -out -sha1 -CA -CAkey -CAcreateserial -days 3650前两个命令会生成 key、csr 文件,最后一个命令则通过 为 制作了 x509 的签名证书。
需要注意的是,在执行上述第二个命令时,Common Name 选项应当输入的是服务器的域名,否则在用户通过 https 协议访问时每次都会有额外的提示信息。
用命令openssl x509 -in -text -noout可以查看 文件的内容。
2. 配置 Apache 服务器首先,创建 /etc/apache2/ssl 目录,将刚刚制作的 、 和 文件拷贝到这个目录中。
接着执行命令a2emod ssl激活 Apache 的 SSL 模块,然后在 /etc/apache2/sites-enable/ 中添加虚拟主机,这个过程与添加普通的虚拟主机类似,不同点在于该主机的端口应为 443。
配置如下:NameVirtualHost *:443ServerName localhost DocumentRoot /var/www SSLEngine On SSLCipherSuite HIGH:MEDIUM SSLProtocol all -SSLv2 SSLCertificateFile /etc/apache2/ssl/ SSLCertificateKeyFile /etc/apache2/ssl/ SSLCACertificateFile /etc/apache2/ssl/ Order deny,allow Allow from localhostServerName localhost DocumentRoot /var/www Order deny,allow Allow from localhost以上配置保证了用户在访问 443 和 80 端口时可以看到相同的内容,而仅仅是使用的协议不同。
修改好配置后,便可以重启 Apache 服务器,这时需要输入 的密码。
用浏览器访问这时应当看到一个弹出对话框,让你确认是否信任该站点的证书,选择信任后,便可以查看该站点的内容了。
由于大多数 Apache 服务器都是在服务器启动时自动启动,为了避免在启动 Apache 时输入密码,可以用以下命令生成不加密的 文件:openssl rsa -in -out 用新生成的 代替原有的 key 文件即可。
如何在nginx服务器部署ssl证书
Nginx服务器部署ssl证书的指南网页链接,写得很详细。
如果是在GDCA申请的SSL证书,他们可以免费帮安装。
