前几天需要为一个多站点的服务器配置ssl证书。找了好多都不好用。
这里特别说一下;certbot证书, https://certbot.eff.org/一点都不好用,安装这个之后,竟然改了我的nginx的配置文件的位置。多域名还老是出错。
后来找到了freessl.org的证书,能支持多域名,不过时间有点短,免费的就这样了。
第一步输入要办理证书的域名,多个域名用英文逗号隔开。
第二步选证书品牌,多域名只能选Let's Encrypt了。还有一个buypass证书品牌,适合单域名
第三步要输入你的邮箱,选择证书类型,一般都选RSA;验证类型有DNS和文件验证两种类型,如果你能掌控DNS的解析的话,这种类型要方便一些。如果不能掌控只能选文件验证类型了。还要选csr生成类型,选默认的离线生成即可。
第四步,当点创建后,会弹出一个提示框,要启动KeyManager这个软件,如果没有的话,你得下载并安装,就从这里下载即可。
第五步,启动KeyManager后,这个软件会要求你输入一个这个软件的登录密码,只有密码,没有用户名。
第六步,登录KeyManage后,会提示已生成csr已生成可以下一步,你点第四步出现的对话的继续。
第七步,就会出现要求验证的页面。此时你得按装这个页面的提示,在域名对应的服务器上面创建“.well-known“文件夹,注意前面有个"."号,windows操作系统只能在dos界面用mk命令创建此类文件夹,然后再在下面创建子文件夹acme-challenge”。并把验证页面的验证文件下载下来,传到刚才创建的文件夹下面。要保证用http能访问到这个文件,linux下面要注意权限问题。linux下要在对应的配置文件里面加
location ~ /.well-known {
allow all;
}
第八步,点验证页面的”点击验证“。会转到验证结果的界面,会用HTTP或HTTPS去访问刚才的验证文件。如果验证通过,就会出现下载证书的界面了。你也可以到刚才打开的KeyManager软件里去下载证书。
万里长征终于走完了第一步。下面是配置了。我的是debian+nginx。
第一步,打开nginx的配置文件nginx.conf。在http章节添加 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on;不能在server章节添加,也不能添加到各个虚拟机的配置文件里面。
第二步,配置各个域名的配置文件(有的就是在nginx.conf里面增加server章节)。
listen 80;
#listen [::]:80;
listen 443 ssl;
同时监听80和443端口;如果允许IPV6的,就把上面第二行的注释“#”号去掉。
location / {
if ($server_port = 80){
rewrite ^(/.*)$ https://$host$1 permanent;
}}
重定向80口,就是说用http访问的人,强制跳转用https访问。
1995
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
