客服电话
APP下载
迪恩网络APP
随时随地掌握行业动态
官方微信
扫描二维码
关注迪恩网络微信公众号
|
生成自签名SSL证书 生成RSA密钥(过程需要设置一个密码,记住这个密码) $ openssl genrsa -des3 -out domain.key 1024 拷贝一个不需要输入密码的密钥文件 $ openssl rsa -in domain.key -out domain_nopass.key 生成一个证书请求 $ openssl req -new -key domain.key -out domain.csr 这里会提示输入国家,地区组织,email等信息.最重要的一个是"common name",需要与网站域名相同. Enter pass phrase for domain.key: # 之前设置的密码 ----- Country Name (2 letter code) [XX]:CN # 国家 State or Province Name (full name) []:Jilin # 地区或省份 Locality Name (eg, city) [Default City]:Changchun # 地区局部名 Organization Name (eg, company) [Default Company Ltd]:Python # 机构名称 Organizational Unit Name (eg, section) []:Python # 组织单位名称 Common Name (eg, your name or your server's hostname) []:domain.com # 网站域名 Email Address []:[email protected] # 邮箱 A challenge password []: # 私钥保护密码,可直接回车 An optional company name []: # 一个可选公司名称,可直接回车 输入完这些就会生成一个domain.csr文件,提交给ssl提供商的时候就是这个csr文件.当然这里并没有向任何证书提供商申请,而是自己签发证书. 使用上面的密钥和CSR对证书签名 $ openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt Nginx下ssl配置方法 检测nginx是否支持SSL: $ nginx -V 如果有显示 如果没有,请重新编译安装nginx $ ./ configure --with-http_ssl_module --with-http_stub_status_module $ make & make install 配置文件:
server {
listen 80;
listen 443 ssl; # 监听443端口, 开启ssl(必须)
server_name domain.com;
# ssl on; # 不建议使用! 该指令与listen中ssl参数功能相同.
# 引用ssl证书(必须,如果放在nginx/conf/ssl下可以用相对路径,其他位置必须用绝对路径)
ssl_certificate /home/user/domain.com/conf/ssl/domain.crt;
ssl_certificate_key /home/user/domain.com/conf/ssl/domain_nopass.key;
# 协议优化(可选,优化https协议,增强安全性)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# 自动跳转到HTTPS
if ($server_port = 80) {
rewrite ^(.*)$ https://$host$1 permanent;
}
# 其他配置信息...
}
配置完成后检查niginx配置文件是否可用: $ nginx -t # 检查nginx配置文件 successful后重新加载配置文件使配置生效: $ nginx -s reload 注:记得开启防火墙的443端口 注:我使用的nginx+uwsgi部署,这种情况还需要重启下uwsgi,否则无法访问 以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持极客世界。 |
请发表评论