SSL证书安装配置

已于 2023-05-05 14:16:37 修改
阅读量6.9k 收藏 16
点赞数 1
分类专栏: SSL证书 文章标签: ssl nginx https
于 2021-11-16 13:24:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gworgcom/article/details/121353775
版权

我们将简单的介绍如何安装配置SSL证书。最近有网友反映教程不全,特此提供一个万能教程链接,如果不会也可以请Gworg进行收费技术支持。另外在里面也可以搜索教程,常见都会有,包括虚拟主机、自助建站控制面板。

SSL证书所有服务器环境教程:https://www.gworg.com/ssl/127.html 

第1步 下载证书文件到本地电脑中

Gworg申请SSL证书,然后去邮箱下载解压点击Nginx证书文件。

每种WEB服务器的SSL证书格式不一样,不通用,需要单独下载对应服务器的SSL证书文件

下载完是一个zip压缩包文件,需要进行解压,解压下来是两个文件:

以.key为后缀的文件是密钥文件

以.pem或者.crt为后缀的文件是证书文件

第2步 上传到服务器中的特定的文件夹目录下

将第1步中的证书文件(.pem结尾)和密钥文件(.key)文件上传到Nginx服务器中,这两个文件具体的放置路径是在Nginx安装目录下的conf/cert文件夹中。

比如你的Nginx安装目录是/usr/local/nginx,则先在/usr/local/nginx/conf目录下新建一个文件夹cert,然后将这两个文件上传放置在这个目录下。

如果你是Linux主机的话可以参照下面的命令(Windows用户可以手动图形化界面操作):

//创建cert目录

cd /usr/local/nginx/conf/
mkdir cert

通过FTP、SCP或者SFTP等工具将证书上传到cert目录,最终效果是:

第3步 配置nginx.conf,使证书生效

修改nginx的配置文件/usr/local/nginx/conf/nginx.conf,修改之前最好通过复制命令将该配置文件备份一份,以防万一把该配置文件改坏了,好恢复。

//备份一份原始的配置文件
cp nginx.conf nginx.conf.bak.2020.03.09

接下来就修改nginx.conf文件:

vim nginx.conf

在nginx.conf里增加配置信息:

# HTTPS server 

server {
    listen       443 ssl;
    server_name  www.gworg.com;

    ssl_certificate      cert/www.gworg.com.pem;
    ssl_certificate_key  cert/www.gworg.com.key;

    ssl_session_timeout  5m;

    ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    ssl_prefer_server_ciphers  on;


    root /var/www-data/yhxtapi;
    index index.html index.php;
    location / {

    }

}

这里对上面的配置信息做一个简单的解释 :

配置信息中ssl开头的配置项是与SSL证书配置相关的,其他内容是一般的Nginx服务器配置信息。

listen       443 ssl;  

//监听443端口,因为SSL协议是走443端口
servername  www.gworg.com; 
 
//虚拟主机的servername,要与你所用的证书中的域名一致,也就是当时申请SSL证书时用的什么域名,这里也要是相同的域名。
ssl_certificate      cert/www.gworg.com; 

//证书文件(.pem)的路径地址,也就是第2步中上传的证书文件的存放地址
ssl_certificate_key  cert/www.gworg.com;

//密钥文件(.key)的路径地址,也就是第2步中上传的密钥文件的存放地址
ssl_session_timeout  5m;

//客户端可以重用会话缓存中的ssl的过期时间
ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

//密码加密方式
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

//启用特定的加密协议
ssl_prefer_server_ciphers  on;

//配置优先使用服务端的加密套件,而不是客户端浏览器的加密套件

其他配置信息是基本的Nginx服务器配置信息,这里不详细介绍了。

配置完成之后,保存,使用nginx的命令测试一下配置文件是否正确:

nginx -t

输出结果:

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

代表配置文件修改的没问题。

然后让nginx重新加载下配置文件

nginx -s reload

配置就完成了!接下来就是测试看看效果了。

测试下效果

测试之前你需要做的:

  1. 确保你的服务器防火墙443端口已开启,因为SSL协议是走443端口的,像使用阿里云ECS服务器的话防火墙默认是没开启443端口,需要自己手动去开启。
  2. 做好域名的解析,将域名正确的解析到你的服务器IP地址上。

做好了这两步之后,你可以在刚配置好的SSL虚拟主机的根目录下新建一个html文件测试下。

按照本文中的配置的话就是在 /var/www-data/yhxtapi目录下新建一个index.html,随便写点内容,然后打开浏览器,访问

可以再多做一件事

你可以在nginx.conf里再多配置一点:

server {
	listen       80;
	server_name  www.gworg.com;
	rewrite ^(.*)$ https://$host$1 permanent;
}

上面的配置可以让用于访问HTTP请求时自动跳转到HTTPS开头的地址,确保用户访问的是安全的HTTPS链接。

下载证书 -> 上传证书 -> 配置web服务器,3步可以搞定SSL证书安装使用,最后别忘了配置完成后测试一下是否成功,是不是很简单?

在其他的WEB服务器中安装配置的步骤与此类似,不过配置web服务器与Nginx服务器中不同

Gworg
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
网站改成HTTPS方法
06-17 151
网站改成HTTPS只要网站没有特殊性的要求,绝大部分网站很轻松的就可以完成,尤其是CMS类似的网站系统或者自助搭建的网站(比如:这种网站可以在网站后台一次性安装并且生效)。
博客
如何购买代码签名证书?
06-13 146
如果您没有用于存储证书的USB令牌(SafeNeteToken5110CC),您可以选择购买。如果您已经是注册客户,请输入您的电子邮件地址和密码。否则,请输入您的注册信息和密码创建一个新帐户。必须是法定名称,真实存在的,后期会要求进行实名认证,如果是中国会查看工商年报信息实名,如果是国外的需要邓白氏或者地方政府。付款获批后,我们将开始验证代码签名证书的过程。注意:建议一次性3年,因为代码签名证书不能之前续费,到期需要重新办理并且实名认证。代码签名证书可购买,有效期最长为3年。OV代码签名、EV代码签名。
博客
代码签名证书怎么申请?有什么条件?
06-11 411
代码签名证书是由证书颁发机构(CA)颁发的数字证书,用于验证组织/软件作者的身份并确保软件/应用程序/程序的完整性。它们包含组织的数字签名、组织名称和时间戳(如果需要)。软件开发人员利用代码签名证书将其数字签名放在应用程序、可执行文件、软件程序和驱动程序上。这向最终用户保证,代码在由组织/软件开发人员签名后不会被第三方篡改/破坏。
博客
Windows Defender SmartScreen拦截软件怎么办?
06-05 979
作为供应商,您可能经常会收到用户投诉,每当他们下载您的安装程序时都会出现“Windows Defender Smart Screen阻止无法识别的应用程序启动”警告。如果您在网站上托管应用程序的下载工具包(大多数供应商都这样做),则通常会发生这种情况-从而导致用户反复抱怨Smart Screen。然而,这个警告并不会阻止用户安装您的软件,但可能会让他们认为这样做不安全。在本文中,我们将向您展示如何防止Smart Screen出现。是的!
博客
SSL证书到底怎么选?
06-05 359
在全球CA官方原厂的SSL证书兼容性达到99%的机构仅有4家,其中一家勉强,分别:GlobalSign、DigiCert、Sectigo、Certum,如果不在这个范围的建议都不用看。【不包括套用品牌的“国产化”SSL证书、山寨SSL证书,这些证书的最终颁发者还是这4家机构】
博客
DV单域名SSL证书
05-31 257
SSL证书里面DV单域名比较普遍,原因他可以用于企事单位也可以用于个人,并且符合各种项目的需求,包括小程序或者OA、EAP应用环境,号称SSL证书“霸王”,主要突出的是快速认证、安全稳定、应用全面、成本较低、活跃性高等优势。DV单域名SSL证书是针对一条主域名或者一条子域名申请,简单的来说必须明确具体的域名使用。成本很低,一般几百块的元的DV单域名SSL证书属于比较好的。好处,适用于域名并不多的项目使用,支持各个行业使用,其中包括金融行业,医院,学校等其它组织。
博客
IP地址开启HTTPS方法
05-30 400
可以使用IP地址申请SSL证书,申请之前必须是公网IP地址,不支持内网IP地址申请。申请过程需要确定IP地址外网可以访问,这里特别注意只是申请过程中可以访问。访问验证过程必须采取80端口、443端口两者选择1个,不可以用其它端口进行认证,因为认证采取的URL地址文件认证方式,会要求网站根目录上传TXT记事本文件进行访问。
博客
通配符域名证书怎么申请?
05-24 379
SSL证书的种类主要分为三种,但要谈得上最耐用的还是通配符了,因为他申请完毕后在范围内增加的子域名不需要另外付费,这一点对比其它的种类的SSL证书是无法替代的,所以除了单域名SSL证书比较常见,那么解析来就是通配符SSL证书。随着多子域名数量存多种不可能性,这种情况下就需要申请通配符SSL证书。通配符具备确定的申请域名及下一级的子域名无限制的使用,适合泛解析或者多个二级域名需要HTTPS加密协议的人。对于这种情况,域名证书应该如何通配符SSL证书?
博客
SSL安全协议证书
05-16 288
SSL安全协议证书正确的叫法:SSL证书。SSL(安全套接字层),目前称为TLS(传输层安全性),是一种确保安全在线通信的互联网加密协议。虽然SSL被认为是TLS的旧形式,但这两个缩写词通常可以互换使用。使用SSL保护的网站有一个HTTPs网址。SSL/TLS保护客户端和服务器之间的通信通道,以保护用户数据并防止欺诈活动。这是通过称为TLS握手的过程实现的。TLS握手涉及客户端和服务器之间的公钥交换。当用户登录您的网站时,浏览器会向服务器请求SSL证书来验证网站并通过HTTPS建立安全通信通道。
博客
Encryption Everywhere DV TLS CA - G1
05-16 412
Encryption Everywhere DV TLS CA - G1属于DigiCertCA机构发布,分为单域名SSL证书和通配符SSL证书两种为主,常见的是单域名SSL证书,到期后就需要重新申请。单域名类型可以保护一个全域名,比如:一个子域名或者一个主域名。通配符类型可以保护申请的域名及下一级域名无限制保护。
博客
Encryption Everywhere DV TLS CA - G1
05-14 355
Encryption Everywhere DV TLS CA - G1属于DigiCertCA机构发布,分为单域名SSL证书和通配符SSL证书两种为主,常见的是单域名SSL证书,到期后就需要重新申请。单域名类型可以保护一个全域名,比如:一个子域名或者一个主域名。通配符类型可以保护申请的域名及下一级域名无限制保护。
博客
https://是怎么实现的?
05-11 1022
默认的网站建设好后都是http访问模式,这种模式对于纯内容类型的网站来说,没有什么问题,但如果受到中间网络劫持会让网站轻易的跳转钓鱼网站,为避免这种情况下发生,所以传统的网站改为https协议,这种协议自己可以用自签名的证书,但如果要被主流的浏览器信任就需要找可信的颁发机构认证了,除金融行业以外,只要选择DV类型单域名SSL证书就可以了,因为他适合各种类型网站和小程序使用。
博客
软件数字签名
04-29 163
软件数字签名证书在证明组织内外软件应用程序的真实性和完整性方面发挥着重要作用。它提供了一条重要的防线,并向用户和开发人员保证他们可以信任应用程序。一旦应用程序被签名,任何恶意方都无法注入恶意软件或其他攻击性措施,因为软件数字签名为原始应用程序提供了完整性。然而,灾难是无法消除的。证书可能会被泄露和被盗,并且一些坏人可能会控制它。这种妥协的后果可能是多种多样的,这可能会给组织和应用程序的用户带来许多风险和挑战。
博客
Microsoft Defender SmartScreen 阻止了无法识别的应用启动。运行此应用可能会导致你的电脑存在风险。
04-26 1450
使用Microsoft Edge浏览器下载软件被拦截并且提示:Microsoft Defender SmartScreen 无法验证此文件是否安全,因为通常不会下载 此文件。请确保在打开之前信任正在下载 的文件或其源。Microsoft Defender SmartScreen 阻止了无法识别的应用启动。运行此应用可能会导致你的电脑存在风险。这种情况下是因为软件没有数字证书或者使用了OV数字证书导致的,除了下载软件会被拦截,很多时候在运行软件的时候也会有提示拦截。
博客
通配符HTTPS安全证书
04-25 560
众多类型的SSL证书,要说适用或者说省钱肯定是通配符了,因为谁都想一本SSL证书包括了整条域名,而且也不用一条一条单独管理。通配符HTTPS安全证书,其实就是通配符SSL证书,SSL证书主流CA的参数都一样,通配符也不例外,通配符包括主域名及下一级子域名,算法可以选择RSA或者ECC,但肯定会选择RSA算法,原因只有他的兼容性最强,谁都不想自己的网站部分浏览器打不开。
博客
便宜的SSL证书提供商
04-23 941
SSL证书不仅对用户浏览器和您的网站之间传输的数据进行加密,而且还通过在地址栏中显示令人垂涎的挂锁符号来建立信任。虽然SSL的重要性是不可否认的,但找到一个具有成本效益的解决方案对于网站所有者来说同样重要,尤其是对于那些预算有限的网站所有者来说。当您探索可用的经济实惠的SSL选项时,请记住考虑您的具体需求、所需的验证级别以及可能增强网站安全性的任何其他功能。使用SSL证书对您的网站和访问者浏览器之间传输的数据进行加密,确保安全通信并保护敏感信息(例如登录凭据、个人详细信息和支付信息)免受潜在黑客的攻击。
博客
Encryption Everywhere DV TLS CA - G2
04-23 525
数字证书有效期1年,到期后就需要重新续费,如果你用的是该证书你会发现原有的1年证书现在申请不到了,因为去年Gworg官方发布公告停止2023年11月14日(北京时间)调整后有效期3个月,这只是针对这一个产品而言,但对于付费用户来说还是有1年SSL证书的。介绍Encryption Everywhere DV TLS CA - G2产品分为:单域名和通配符两种,该证书颁发CA是DigiCert。
博客
域名安全证书(SSL证书)服务
04-23 816
SSL证书或安全套接字层是一种系统或安全协议,用于保护通过互联网传输的信息。SSL是当今使用的现代TLS或传输层安全性的前身。尽管SSL协议已被现代TLS取代,但大多数人仍将其称为SSL。如果没有SSL,网络犯罪分子就可以拦截、读取和篡改用户输入网站的信息,例如密码、信用卡和其他个人信息。当您的网站上安装了SSL证书时,它会对用户发送到网站的信息进行加密。这种加密确保如果有人拦截数据,他们只能访问加扰的信息,从而确保用户数据的安全。SSL在验证域名方面也发挥着至关重要的作用。
博客
https加密证书
04-17 195
HTTPS加密证书的行业产品用语叫作SSL证书,由于这种数字证书主要作用是让原有的HTTP超文本传输协议,改成HTTPS超文本传输安全协议,所以有的人就称之为HTTPS加密证书。最早这种数字证书主要用于支付类型的网站,目前由于互联网技术不断发展,网络安全不可忽视,所以各个浏览器及搜索引擎会将原有的HTTP网站都标注不安全,从而提示访问者可能当前的网站处于不安全性,从而要求网站通过HTTPS加密方式身份认证保证了传输安全。
博客
代码签名证书需要多少钱?
04-15 335
每个代码签名证书都提供以下其中一项的数字签名:Microsoft Authenticode、VBA 和 Office、Java、Adobe Air。(一份代码签名证书仅覆盖一个平台)。包括全面的身份验证程序,并保护内容免受未经授权的第三方的任何类型的操纵。该证书包括 针对未经授权的使用、披露、泄露、未经授权的撤销、使用丢失和错误颁发的。代码签名证书是有助于保护用户免遭下载文件或不受信任的应用程序的数字证书。Microsoft Office 和 VBA 的代码签名。具有有效的代码签名证书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值