SSL证书概述与配置

目录

一．SSL证书概要

二．证书作用

三．ssl证书的三种类别

1.最基础的SSL证书类别：DV（Domain Validaion）

2.普通的组织验证证书：OV（Organization Validation）

3.扩展验证类SSL证书：EV （Extended Validation）

四、SSL证书的使用成本

1、免费SSL证书

2、基础版的 DV SSL证书

3、企业版 OV SSL证书

4、扩展验证的 EV SSL证书     

五．获取证书和密钥

1.安装openssl工具

2.创建一个存放证书的文件放到/etc/nginx/ssl_key下

3. 证书颁发机构，创建私钥（本机当的CA）

4.生成证书，去掉私钥的密码

六．配置ssl模块

---

一．SSL证书概要

SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也称为SSL服务器证书。

SSL 证书 就是遵守 SSL协议，由受信任的数字证书颁发机构CA，在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了），即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露，保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。数字签名又名数字标识、签章 (即 Digital Certificate，Digital ID )，提供了一种在网上进行身份验证的方法，是用来标志和证明网络通信双方身份的数字信息文件，概念类似日常生活中的司机驾照或身份证。 数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、网上公文安全传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。

二．证书作用

1.浏览器绿色安全标志

各大主流浏览器的重视，对没有安装SSL证书的网站提示“不安全”，安装了SSL证书的网站浏览器会显示绿色安全标志，表示连接安全。

2.网站数据加密传输

安装SSL证书之后，网站会从升级为 https（加密协议）。可加密保护网站的所有数据信息，保护访客注册登录，在线交易等信息数据，这对于电商、金融、政府、企业等网站至关重要。

小程序、抖音等平台对于合作的网址有相关的要求，即需要使用 https 链接。

3.安全标志获得访客信任

OV SSL证书可验证申请组织的真实身份，可在证书详情里查看申请企业。高级EV SSL证书还可在浏览器地址栏显示绿色企业名称，可加深访客对网站的信任，浏览使用更加放心。

4.强大的加密等级保障

SSL证书之所以能够进行数据加密，和它的2048位加密技术是分不开的，时刻保护这敏感数据不被窃取、泄露。     满足“等保”等相关政策对网站的安全要求。

OV 和 EV 证书除了安全加密之外，其实还有对网站管理者身份的验证，这个验证会体现在 SSL证书的字段中。而 EV 级别的 SSL证书甚至可以在某些版本的浏览器中直接显示单位名称。这一定程度帮助网站运营者确定了其“官方身份”，有助于帮助其用户识别真假网站。

5.SSL证书帮助网站保护了用户和网站之间的任何数据的安全

最重要的一点，SSL证书帮助网站保护了用户和网站之间的任何数据的安全。如果没有SSL证书，用户在网站上的任何信息交互都将处于明文传输的状态，这其实上非常可怕的。也正因为如此，作为展示网站的浏览器，在推动SSL证书的普及上非常积极，甚至对没有SSL证书的网站在打开的时候进行了安全拦截

三．ssl证书的三种类别

1.最基础的SSL证书类别：DV（Domain Validaion）

俗称“域名验证型SSL证书”。这种 SSL证书只具备最基本的 HTTPS 加密作用。不涉及到SSL证书的使用方身份验证，因此具有颁发快，成本低的优点。这种证书满足了大量的个人站长对 https 的加密需求。同时也是各个小微企业从节约经营成本的角度出发可以选择的SSL证书类型。

2.普通的组织验证证书：OV（Organization Validation）

俗称“组织验证型SSL证书”或者“企业性SSL证书”。这类证书从加密和身份认证两方面对网站进行了一个提高。申请这类证书需要具有组织身份，例如公司、政府、学校、医院等各类单位组织。证书签发机构在签发证书之前，会对这个组织身份的真实性进行验证，确保组织的真实存在以及确认该组织本身确实是在申请SSL证书，防止冒名顶替。这种 OV SSL证书的字段里面包含了使用证书的单位名称。

3.扩展验证类SSL证书：EV （Extended Validation）

这类SSL证书俗称“增强型SSL证书”或者“扩展验证型SSL证书”。这种SSL证书对申请者身份做了更加严格的审核，也正因如此，很多浏览器对装有 EV SSL证书的网站进行了特别的标注：例如在浏览器地址栏直接显示单位名称，或者在浏览器地址栏点击小锁标志后显示单位名称。

四、SSL证书的使用成本

1、免费SSL证书

    这类证书建议适合一些流量不大的个人博客之类的站点。近几年发生过多起免费SSL证书被大规模吊销事件，相关资讯可以网上搜索一下，除此之外，免费的SSL证书更不会与您签合同，以及提供及时的技术支持，您还需要考虑SSL证书的响应速度、兼容性等。因此，如果您是单位正式的在线业务，谨慎使用免费SSL证书，毕竟出现问题后背锅是件很难受的事。

2、基础版的 DV SSL证书

  这类证书的成本区间在每年 100-1000 左右，这种成本相比单位其他的开支，其实不值一提。这种证书适用于一些后台的 API 之类的安全连接。

3、企业版 OV SSL证书

      证书根据品牌的不同，大概的成本在每年 1000 以上。

4、扩展验证的 EV SSL证书     

  这类证书根据品牌的不同，大概的成本在每年 2000 以上。

五．获取证书和密钥

关闭核心防护与防火墙

systemctl stop firewalld

systemctl disable firewalld

setenforce 0

1.安装openssl工具

yum install -y openssl

2.创建一个存放证书的文件放到/etc/nginx/ssl_key下

mkdir -p /etc/nginx/ssl_key

cd /etc/nginx/ssl_key/

3. 证书颁发机构，创建私钥（本机当的CA）

openssl genrsa -idea -out server.key 2048

2048 是代表位数 位数越多越安全 常见的有 2048、4096

4.生成证书，去掉私钥的密码

openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt

req 表示证书输出的请求

-days 3650 时间=10 年

-x509 签发x509格式证书命令

-newkey  此选项创建一个新的证书请求和一个新的私钥。 该参数采用以下几种形式之 一。 rsa：nbits （其中nbits是位数）会生成nbits大小的RSA密钥

-key密钥

-new表示新的请求

-out输出路径

六．配置ssl模块

1、到nginx安装目录下添加ssl模块

因为之前已经安装过了nginx即对器安装依赖环境

yum -y install gcc gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel make

2.开始编译

./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module

3.编译安装

make

不能make install因为会直接刷新前面的配置

3、关闭服务

然后用源码包中刚刚编译好的的Nginx把安装目录中的Nginx替换掉

systemctl stop nginx

cp ./objs/nginx /usr/local/nginx/sbin/

5、 编辑配置文件

 vim /usr/local/nginx/conf/nginx.conf

server {

        listen 443 ssl;

        server_name 192.168.100.10;

        ssl_certificate /etc/nginx/ssl_key/server.crt;

        ssl_certificate_key /etc/nginx/ssl_key/server.key;

        location / {

                root /https-gg;

                index index.html;

        }

}

完成