nginx如何配置部署ssl證書的方法
保護(hù) NGINX Web 服務(wù)器的安全對(duì)于保護(hù)當(dāng)今數(shù)字環(huán)境中的在線資源至關(guān)重要。 保護(hù)您的網(wǎng)站將提高您網(wǎng)站的可信度并確保用戶信息的隱私。 SSL 是一種安全套接字層協(xié)議，可保護(hù)您的數(shù)據(jù)并確保用戶的隱私。 它在您的 Web 服務(wù)器和用戶瀏覽器之間創(chuàng)建安全且加密的連接，以保護(hù)敏感信息，例如登錄憑據(jù)和個(gè)人詳細(xì)信息。
在本指南中，我們將引導(dǎo)您完成在 NGINX Web 服務(wù)器上設(shè)置 SSL 的過程。 在這篇文章中，我們將解釋在 NGINX 上實(shí)現(xiàn) SSL 的兩種不同方法。
先決條件
在我們開始之前，請(qǐng)確保您具備以下條件：
正在運(yùn)行的 NGINX Web 服務(wù)器。
指向您的服務(wù)器 IP 地址的域或子域。
root 用戶或具有 sudo 權(quán)限的用戶。
使用自簽名 SSL 保護(hù) NGINX
自簽名證書不是由證書頒發(fā)機(jī)構(gòu)簽名的。 它是為內(nèi)部網(wǎng)絡(luò)和開發(fā)環(huán)境而設(shè)計(jì)的。 不適合生產(chǎn)環(huán)境。
以下是在 NGINX 服務(wù)器上實(shí)施自簽名 SSL 的步驟。
步驟 1 - 使用以下命令創(chuàng)建私鑰和證書簽名請(qǐng)求 (CSR)。
openssl req -nodes -newkey rsa:2048 -keyout /etc/ssl/my-private.key -out /etc/ssl/my-request.csr
提供您的證書信息，如下所示：
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) \[AU]:US
State or Province Name (full name) \[Some-State]:FL
Locality Name (eg, city) \[]:newyork
Organization Name (eg, company) \[Internet Widgits Pty Ltd]:alibaba
Organizational Unit Name (eg, section) \[]:IT
Common Name (e.g. server FQDN) \[]:domain.com
Email Address \[]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password \[]:
An optional company name \[]:
步驟 2 - 使用上述證書生成 SSL 證書。
openssl x509 -in /etc/ssl/my-request.csr -out /etc/ssl/certificate.crt -req -signkey /etc/ssl/my-private.key -days 365
您將看到以下輸出。
Certificate request self-signature ok
subject=C = US, ST = FL, L = newyork, O = alibaba, OU = IT, CN = domain.com
第 3 步 - 接下來，您需要編輯 NGINX 虛擬主機(jī)配置文件并將其配置為使用生成的 SSL。
nano /etc/nginx/conf.d/your-website.conf
添加以下配置：
server {
listen 443 ssl;
server_name your-domain.com;
ssl_certificate /etc/ssl/certificate.crt;
ssl_certificate_key /etc/ssl/my-private.key;
ssl_protocols TLSv1.2;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_prefer_server_ciphers on;
\# ... other server configuration ...
}
保存并關(guān)閉文件，然后重新加載 NGINX 以應(yīng)用 SSL 配置：
systemctl reload nginx
最后，打開 Web 瀏覽器并訪問您的網(wǎng)站以測(cè)試 SSL。
使用商業(yè) SSL 保護(hù) NGINX
在此方法中，您需要 從任何受信任的證書頒發(fā)機(jī)構(gòu) (CA) 或任何 SSL 證書的授權(quán)經(jīng)銷商處購買 SSL 證書 。
以下是有關(guān)如何使用商業(yè) SSL 證書保護(hù) Nginx 的分步指南：
步驟 1 - 從任何受信任的 CA 購買 SSL 證書。 您需要在購買過程中提供有關(guān)您的域和組織的信息。
步驟 2 - 完成購買過程后，CA 將通過電子郵件向您發(fā)送 SSL 證書和中間證書。
步驟 3 - 獲得所有證書后，您需要使用任何安全文件傳輸方法將所有文件上傳到您的服務(wù)器。 將所有文件放置在默認(rèn)位置 /etc/nginx/ssl/ 中。
步驟 4 - 編輯您網(wǎng)站的 NGINX 虛擬主機(jī)配置文件。
nano /etc/nginx/conf.d/your-website.conf
添加以下配置來定義 SSL 證書的路徑。
server {
listen 443 ssl;
server_name your-domain.com;
ssl_certificate /etc/nginx/ssl/your_domain.crt;
ssl_certificate_key /etc/nginx/ssl/your_domain.key;
ssl_trusted_certificate /etc/nginx/ssl/intermediate.crt;
\# ... other server configuration ...
}
完成后保存并關(guān)閉文件，然后重新啟動(dòng) NGINX 服務(wù)以應(yīng)用更改。
systemctl restart nginx

第 5 步 - 打開 Web 瀏覽器并使用 URL https://your-domain.com 安全地訪問您的網(wǎng)站。 您還可以使用 SSL Lab 等在線 SSL 測(cè)試工具來驗(yàn)證您的 SSL。

      我們是阿里云15年合作伙伴北京優(yōu)勝智連，通過我們購買阿里云產(chǎn)品享受折扣優(yōu)惠，北京專線：132-6161-6125、全國(guó)市話：400-150-1900 ，聯(lián)系客服獲取優(yōu)惠價(jià)格，請(qǐng)?jiān)L問阿里云代理https://www.zhiy.com.cn/product/aliyun/23.html享更多優(yōu)惠！