一、生成證書請求 您需要使用CSR生成工具來創(chuàng)建證書請求。
1.下載AutoCSR: http://www.itrus.cn/soft/autocsr.rar
- 生成服務器證書私鑰及證書請求
運行AutoCSR.bat文件阀趴,按照操作提示填寫證書注冊信息。
以下是示例信息:
通用名(域名): test.itrus.com.cn
組織名稱: iTrus China Co.,Ltd.
部門名稱: VTN Support
省市名稱: Beijing
市或區(qū)名: Beijing
3.備份私鑰并提交證書請求
在程序目錄下,將生成Cert目錄。請妥善保存該目錄下證書私鑰文件server.key念搬,并將證書請求文件certreq.csr提交給天威誠信。
二摆出、安裝服務器證書
1.獲取服務器證書文件
將證書簽發(fā)郵件中的包含服務器證書代碼的文本復制出來(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中朗徊。
為保障服務器證書在客戶端的兼容性,服務器證書需要安裝兩張中級CA證書(不同品牌證書偎漫,可能只有一張中級證書)爷恳。
在服務器證書代碼文本結(jié)尾,回車換行不留空行象踊,并分別粘貼兩張中級CA證書代碼(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”温亲,每串證書代碼之間均需要使用回車換行不留空行)棚壁,修改文件擴展名,保存包含三段證書代碼的文本文件為server.pem文件(如果只有一張中級證書铸豁,則只需要粘貼一張中級證書代碼與服務器證書代碼即可,并回車換行)菊碟。
2.安裝服務器證書
復制server.key节芥、server.pem文件到Nginx安裝目錄下的conf目錄。
打開Nginx安裝目錄下conf目錄中的nginx.conf文件
找到
<code>
# HTTPS server
#
#server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# ssl_prefer_server_ciphers on;
# location / {
# root html;
# index index.html index.htm;
# }
#}
</code>
將其修改為
<pre><code>
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate server.pem; #指定服務器證書路徑
ssl_certificate_key server.key; #指定私鑰證書路徑
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #指定SSL服務器端支持的協(xié)議版本
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; #指定加密算法
ssl_prefer_server_ciphers on; #在使用SSLv3和TLS協(xié)議時指定服務器的加密算法要優(yōu)先于客戶端的加密算法
location / {
root html;
index index.html index.htm;
}
}
</pre></code>
保存退出逆害,并重啟Nginx头镊。
通過https方式訪問您的站點,測試站點證書的安裝配置魄幕。
三相艇、備份服務器證書
在您成功的安裝和配置了服務器證書之后,請務必依據(jù)下面的操作流程纯陨,備份好您的服務器證書坛芽,以防證書丟失給您的系統(tǒng)應用帶來不便。
服務器證書的備份
備份服務器證書私鑰文件server.key翼抠,以及服務器證書文件server.pem即可完成服務器證書的備份操作咙轩。服務器證書的恢復
請參照服務器證書配置部分,將服務器證書密鑰文件恢復到您的服務器上阴颖,并修改配置文件活喊,恢復服務器證書的應用。
四量愧、相關(guān)事項
1钾菊、證書頒發(fā)機構(gòu)
推薦天威誠信,具體請見:http://www.itrus.com.cn
2偎肃、 參考文檔
http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_prefer_server_ciphers
《ngx_http_ssl_module》
http://nginx.org/cn/docs/http/configuring_https_servers.html
《nginx配置HTTPS服務器》
http://www.itrus.cn/html/fuwuyuzhichi/fuwuqizhengshuanzhuangpeizhizhinan
《服務器證書配置指南》