HTTPS服務(wù)器配置
一、SSL證書(shū)申請(qǐng)
1、確認(rèn)需要申請(qǐng)證書(shū)的域名
2、生成私鑰和csr文件
在linux機(jī)器上執(zhí)行以下命令生成私鑰
#openssl genrsa -out server.key 2048
在linux機(jī)器上執(zhí)行以下命令生成csr文件
#openssl req -new -key server.key -out certreq.csr
以下黑色標(biāo)識(shí)文字僅供參考,請(qǐng)根據(jù)商戶自己實(shí)際情況進(jìn)行填寫(xiě)
Country Name: CN????????????????????? //您所在國(guó)家的ISO標(biāo)準(zhǔn)代號(hào),中國(guó)為CN
State or Province Name:guandong?????? //您單位所在地省/自治區(qū)/直轄市
Locality Name:shenzhen???????????????? //您單位所在地的市/縣/區(qū)
Organization Name: Tencent Technology (Shenzhen) Company Limited???????????????? //您單位/機(jī)構(gòu)/企業(yè)合法的名稱?
Organizational Unit Name: R&D???????? //部門(mén)名稱?
Common Name: www.example.com???? //通用名,例如:www.itrus.com.cn。此項(xiàng)必須與您訪問(wèn)提供SSL服務(wù)的服務(wù)器時(shí)所應(yīng)用的域名完全匹配。
Email Address:????????????????????????? //您的郵件地址,不必輸入,直接回車(chē)跳過(guò)
"extra"attributes??????????????????????? //以下信息不必輸入,回車(chē)跳過(guò)直到命令執(zhí)行完畢。
執(zhí)行上面的命令后,在當(dāng)前目錄下即可生成私鑰文件server.key和certreq.csr csr文件
3、將生成的csr文件提交給第三方證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)對(duì)應(yīng)域名的服務(wù)器證書(shū),同時(shí)將私鑰文件保存好,以免丟失。
4、證書(shū)申請(qǐng)后,證書(shū)頒發(fā)機(jī)構(gòu)會(huì)提供服務(wù)器證書(shū)內(nèi)容和兩張中級(jí)CA證書(shū),請(qǐng)按證書(shū)頒發(fā)機(jī)器說(shuō)明生成服務(wù)器證書(shū),此處假設(shè)服務(wù)器證書(shū)文件名稱為server.pem
5、將生成的私鑰文件server.key和服務(wù)器證書(shū)server.pem拷貝至服務(wù)器指定的目錄即可進(jìn)行HTTPS服務(wù)器配置
二、HTTPS服務(wù)器配置
1、 Nginx配置
server {
listen?????? 443;?? #指定ssl監(jiān)聽(tīng)端口
server_name? www.example.com;
ssl on;??? #開(kāi)啟ssl支持
ssl_certificate????? /etc/nginx/server.pem;??? #指定服務(wù)器證書(shū)路徑
ssl_certificate_key? /etc/nginx/server.key;??? #指定私鑰證書(shū)路徑
ssl_session_timeout? 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;???? #指定SSL服務(wù)器端支持的協(xié)議版本
ssl_ciphers? ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;??? #指定加密算法
ssl_prefer_server_ciphers?? on;??? #在使用SSLv3和TLS協(xié)議時(shí)指定服務(wù)器的加密算法要優(yōu)先于客戶端的加密算法
#以下內(nèi)容請(qǐng)按域名需要進(jìn)行配置,此處僅供參考
location / {
return 444;
}
}
2、其它web服務(wù)器配置
請(qǐng)參考文檔:《服務(wù)器證書(shū)配置指南》
三、相關(guān)事項(xiàng)
1、證書(shū)頒發(fā)機(jī)構(gòu)
推薦天威誠(chéng)信,具體請(qǐng)見(jiàn):http://www.itrus.com.cn
2、 參考文檔
3、常見(jiàn)問(wèn)題
(1)證書(shū)受信任的問(wèn)題
部分國(guó)內(nèi)簽發(fā)的SSL證書(shū),在Android上不受信任,推薦GeoTrust;
(2)如果頁(yè)面有動(dòng)靜分離,靜態(tài)資源使用獨(dú)立域名的話,也需要為該域名申請(qǐng)證書(shū);
(3)android低版本不支持SNI擴(kuò)展,受此限制,一臺(tái)服務(wù)器只能部署一個(gè)數(shù)字證書(shū);