Linux:Linux version 3.10.0-123.9.3.el7.x86_64
Nginx:nginx/1.6.3
openssl:1.0.1e
申請(qǐng)證書(shū)
目前網(wǎng)上有不少機(jī)構(gòu)提供個(gè)人免費(fèi) ssl 證書(shū),有效期幾個(gè)月到幾年不等。以 StartSSL :https://www.startssl.com 為例, 申請(qǐng)成功后有效期 3 年,到期后可免費(fèi)續(xù)租。
具體申請(qǐng)過(guò)程也很簡(jiǎn)單。
注冊(cè)登錄以后選擇 Certificates Wizard >> DV SSL Certificate 申請(qǐng)一個(gè)免費(fèi)的 ssl 證書(shū)。
通過(guò)郵件驗(yàn)證域名之后,然后在自己服務(wù)器中生成 SSL 證書(shū)的 csr , 記住生成輸入的秘密 ,之后要用到:
openssl req -newkey rsa:2048 -keyout weizhimiao.cn.key -out weizhimiao.cn.csr
將生成的證書(shū),放到指定的存放證書(shū)的目錄,如 /data/secret/ 。查看證書(shū) weizhimiao.csr 內(nèi)容,將內(nèi)容復(fù)制到頁(yè)面中的 Certificate Signing Request (CSR)部分,提交頁(yè)面。
下載生成好的證書(shū),選擇對(duì)應(yīng)的web服務(wù)器(Nginx,1_weizhimiao.cn_bundle.crt),這樣私鑰和公鑰我們就都有了。
- 1_weizhimiao.cn_bundle.crt(公鑰)
- weizhimiao.cn.key(私鑰)
nginx配置(為指定域名增加https)
nginx.conf當(dāng)前配置
...
http {
...
include /etc/nginx/conf.d/*.conf;
server {
...
}
}
./conf.d/weizhimiao.cn.conf中加入
server{
listen 443 ssl;
server_name weizhimiao.cn;
ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
ssl_certificate_key /data/secret/weizhimiao.cn.key;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA !aNULL !eNULL !LOW !MD5 !EXP !DSS !PSK !SRP !kECDH !CAMELLIA !RC4 !SEED';
add_header Strict-Transport-Security 'max-age=31536000; preload';
add_header X-Frame-Options DENY;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
keepalive_timeout 70;
ssl_dhparam /data/secret/dhparam.pem;
add_header X-Content-Type-Options nosniff;
add_header X-Xss-Protection 1;
root /data/www/weizhimiao.cn;
index index.html;
location / {
}
}
注:
配置中用到一個(gè) /data/secret/dhparam.pem 文件,該文件是一個(gè)PEM格式的密鑰文件,用于TLS會(huì)話(huà)中。用來(lái)加強(qiáng)ssl的安全性。生成該文件方法,
cd /data/secret/
openssl dhparam 2048 -out dhparam.pem
將原來(lái)80端口的訪(fǎng)問(wèn),重定向。./conf.d/weizhimiao.cn.conf中加入
server{
listen 80;
server_name weizhimiao.cn;
return 301 https://weizhimiao.cn$request_uri;
}
測(cè)試
檢測(cè)配置文件是否有語(yǔ)法錯(cuò)誤,需要輸入之前生成公鑰時(shí)輸入的密碼。
nginx -t
Enter PEM pass phrase:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
重啟Nginx(切記,reload不起作用)
nginx -s stop
Enter PEM pass phrase:
nginx
Enter PEM pass phrase:
瀏覽器訪(fǎng)問(wèn) weizhimiao.cn ,是否生效。
另,Nginx配置了安全證書(shū)之后,nginx每次的reload、stop等操作都需要輸入密碼。
可以通過(guò)生成一個(gè)解密的key文件,替代原來(lái)key文件。
cd /data/secret/
openssl rsa -in weizhimiao.cn.key -out weizhimiao.cn.key.unsecure
替換 weizhimiao.cn.conf 中的 weizhimiao.cn.key 文件.
server {
...
ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
ssl_certificate_key /data/secret/weizhimiao.cn.key.unsecure;
...
}
之后每次在reload時(shí),就不需要在輸入密碼了。
最后,用 SSLLABS 來(lái)進(jìn)行一下測(cè)試。
結(jié)果
以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。
