1.SSL证书
1.1SSL证书的购买
SSL证书可以在各大云平台进行购买,而且当天购买当天就可以进行使用,审核速度特别快。本人是在阿里云进行购买的,个人使用购买免费的SSL证书就可以了,毕竟收费的证书特别贵,收费的证书就留给企业级的应用吧,用法都一样,只不过收费的证书更安全一些,本人安装SSL证书只是为了浏览器访问的时候更高大尚一些,还有一个好处就是让用户更安心的访问,如果人家黑客小同学真要攻击你的网站还管你是不是有SSL证书,分分钟不就拿下了吗。个人建议平时使用的是哪一家的云平台就在哪家购买SSL证书吧,毕竟SSL证书与很多东西都相关,这样方便后期在云平台上配置一些东西。
首先百度搜索阿里云进入其官网,在站内搜索输入SSL,选择下图红色框的ssl免费证书进入SSL证书购买页面。
再点击下图的产品详情。
接着点击红框1证书对比,点击红框2立即购买,然后下单进行购买就可以得到一个免费的证书。
1.2SSL证书的申请
在站内搜索输入ssl如下图根据搜索提示选择ssl证书(应用安全)控制台带箭头的,然后进入SSL证书控制台。
在SSL证书控制台中未签发列表有一个证书,点击申请按钮,右侧出现如下图所示的弹框,其中域名验证方式和CSR生成方式都选择第一个即可,下边重点讲一下证书绑定域名,免费证书的域名只可以绑定一个,但平时使用的域名一般最少都是两个(一个是带www的域名一个是不带www的域名),这个就比较头疼了,我在阿里云的官方文档看到这样一段话(具体的域名中如果填写的是www域名,则包含了主域名本身。例如:www.aliyun.com域名绑定的数字证书包含aliyun.com。www.p1.aliyun.com域名绑定的数字证书不包含p1.aliyun.com。)所以说带www的域名包含了不带www的域名,所以这样就不用害怕了,但是在证书绑定域名的文本框中我输入的是一个带www的域名和一个不带www的域名(中间用逗号隔开),只输入一个带www的域名我没试过,你们可以试一下,如果可以使用可以再下方留言告诉我。表示非常感谢~
2.Nginx服务器上安装SSL证书
2.1Nginx服务器上安装SSL证书流程介绍
下面重点来了,将SSL证书安装到Nginx服务器上,SSL安全证书可以安装到很多的服务器上今天只讲安装到Nginx服务器上,SSL证书在其它服务器上的安装后续的博客文章还会持续更新。
首先进入阿里云SSL证书控制台,如果SSL证书申请成功,在已签发列表里会有一个证书,然后点击下载,右侧会有一个弹框,选择Nginx下载,下载到本地的压缩文件包解压后有两个文件一个是xxx.crt文件另一个是xxx.key文件,找到服务器nginx安装目录,在安装目录下创建cert文件夹(我的Nginx安装目录为etc/nginx)将刚才解压的两个文件放入cert文件中。(注意事项:如果有一个文件是xxx.pem文件当作xxx.crt文件即可)
然后需要修改Nginx的配置文件,我的nginx配置文件所在的位置为etc/nginx/nginx.conf查看其内容为下图所示,从红色框中可以看出还有其它配置文件。
继续查找配置文件,我的配置文件位置为etc/nginx/conf.d/default.conf,将这个配置文件的所有代码改成如下代码1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70server {
listen 443 default ssl;
server_name www.jinchengcom.cn
ssl on; #设置为on启用SSL功能。
root html;
index index.html index.htm;
ssl_certificate cert/name.pem; #将name.pem替换成您证书的文件名。
ssl_certificate_key cert/name.key; #将name.key替换成您证书的私钥文件名。
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #使用此加密套件。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #修改protocols。
ssl_prefer_server_ciphers on;
#charset koi8-r;
#access_log /var/log/nginx/host.access.log main;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass http://127.0.0.1;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ \.php$ {
# root html;
# fastcgi_pass 127.0.0.1:9000;
# fastcgi_index index.php;
# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
# include fastcgi_params;
#}
# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
#
#location ~ /\.ht {
# deny all;
#}
}
server {
listen 80;
server_name jinchengcom.cn;
rewrite ^/(.*)$ https://www.jinchengcom.cn/$1 permanent;
}
server {
listen 80;
server_name www.jinchengcom.cn;
rewrite ^/(.*)$ https://www.jinchengcom.cn/$1 permanent;
}
server {
listen 443;
server_name jinchengcom.cn;
return 301 https://www.jinchengcom.cn$request_uri;
}
将这个配置文件修改完成之后保存并退出,重启Nginx服务器就可以使用SSL证书了。这里要说明一下http端口号是80而https的端口号是443,所以需要在安全组中配置443端口号,否则无法使用https进行访问,如果不知道安全组如何配置请查看这篇文章阿里云服务器购买及安全组的配置
2.1Nginx安装SSL证书配置文件讲解
第一处:listen 443 default ssl;
好多配置教程上写着listen 443没有后边的default ssl,导致谷歌报-ERR_SSL_PROTOCOL_ERROR,火狐报-SSL接收到一个超出最大准许长度的记录,当出现这种错误时再后面加上default ssl即可完美解决。
第二处:后面三个监听作用
后面三个监听的作用是为了让http://jinchengcom.cn http://www.jinchengcom.cn https://jinchengcom.cn这三个地址最终都指向https://www.jinchengcom.cn。
附阿里云SSL证书官方文档传送门