購(gòu)買(mǎi)證書(shū)
在Namecheap購(gòu)買(mǎi)SSL證書(shū)后篙顺,進(jìn)入個(gè)人主頁(yè)域仇,你會(huì)看到如下信息:
You have purchased SSL certificates and at least 1 certificate(s) are not yet activated. Please go to the SSL Certificates page and click on 'Activate Now' next to your SSL purchase item to start the issue process.
大致意思就是說(shuō)你已經(jīng)購(gòu)買(mǎi)了SSL證書(shū)但沒(méi)有被激活需要激活钞楼。點(diǎn)擊超鏈接鸿竖,進(jìn)入證書(shū)激活頁(yè)面煮盼。然后找到SSL證書(shū)列表找到你購(gòu)買(mǎi)的產(chǎn)品凄吏,點(diǎn)擊Activate Now远舅。
在Select web server的選項(xiàng)中選擇nginx服務(wù)器。然后就是填寫(xiě)你的CSR痕钢。此時(shí)我們暫時(shí)沒(méi)有CSR表谊。
生成SSL證書(shū)獲取CSR
在你的電腦上執(zhí)行命令:
sudo openssl genrsa -des3 -out server.key 2048
一種是2048位,一種是1024位盖喷。Namecheap要求是生成2048位的密鑰文件爆办。之后會(huì)讓你輸入加密密碼。
然后創(chuàng)建一個(gè)證書(shū)簽名:
sudo openssl req -new -key server.key -out server.csr
輸入剛才填寫(xiě)的密碼课梳,這里會(huì)讓你填寫(xiě)一大堆信息距辆。按照要求寫(xiě)就好了,需要注意的是里面common name填的是你網(wǎng)站的域名暮刃。完成后可以在當(dāng)前目錄下看到新生成的.csr和.key文件跨算。
Namecheap SSL證書(shū)激活
執(zhí)行cat server.csr獲取里面的加密字符串,提供給Namecheap椭懊,確認(rèn)后你會(huì)看到需要你確認(rèn)接受郵件的郵箱地址诸蚕。這里的聯(lián)系人郵箱必須是關(guān)聯(lián)的域名郵箱。
確定后你會(huì)收到一封激活郵箱,按步驟激活成功后又會(huì)收到一封帶附件的郵箱背犯。附件里面的四個(gè)文件就是安裝SSL證書(shū)必備的文件坏瘩。
Nginx安裝SSL證書(shū)
新建一個(gè)server.crt文件,然后按照文件順序依次添加內(nèi)容到該文件中漠魏,確保沒(méi)有空格倔矾。
xxxx.crt、COMODORSADomainValidationSecureServerCA.crt柱锹、COMODORSAAddTrustCA.crt哪自、AddTrustExternalCARoot.crt。
將新生成的server.crt文件和之前的server.key文件上傳到服務(wù)器禁熏。
上述生成步驟本人一直沒(méi)有成功壤巷。最后直接提交xxxx.crt文件而不是server.crt文件。
在服務(wù)器執(zhí)行nginx -V查看http ssl模塊是否支持瞧毙。
修改服務(wù)器的配置文件胧华,可以參考如下內(nèi)容:
listen 443;
ssl on;
ssl_certificate /root/server.crt;
ssl_certificate_key /root/server.key;
ssl_session_timeout 5m;
保存后執(zhí)行service nginx restart重啟nginx。
一些科普知識(shí)
關(guān)于生成的*.key文件是你的私鑰升筏,通過(guò)*.key文件生成的*.csr為證書(shū)請(qǐng)求文件撑柔,你只要把CSR文件提交給證書(shū)頒發(fā)機(jī)構(gòu)后,證書(shū)頒發(fā)機(jī)構(gòu)使用其根證書(shū)私鑰簽名就生成了證書(shū)公鑰文件即后來(lái)生成的*.crt文件您访,也就是頒發(fā)給用戶(hù)的證書(shū)铅忿。
更多關(guān)于公鑰和私鑰的知識(shí)可以參考本人博客的《公鑰和私鑰》
