1 拿到证书和密钥
xxx.com.key
gd_bundle-g2-g1.crt
3cxxxxx.crt
2、证书拼接:
一般来讲,我们拿到的官方证书,不是最终的证书,而是一个中间证书gd_bundle-g2-g1.crt和一个根证书3cxxxxx.crt,需要我们把两个证书合成一个最终的证书,这里如果顺序错误,就会出现问题。另外有可能就是在复制证书内容合并的时候,证书末尾的字母后面有空格。为了避免空格出现,可以通过cat 3cxxxxx.crt gd_bundle-g2-g1.crt > ca_****.crt来生成证书。
如果顺序反了或者出现空格,会报错如下:
[root@PUS*-021 ssl.key]# nginx -c /opt/nginx-conf/poll.conf
nginx: [emerg] SSL_CTX_use_PrivateKey_file("/usr/local/nginx/ssl/ssl.key/****.com.20160503.key") failed
(SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
另外生成证书,可以通过如下openssl自带的工具检测私钥与证书是否匹配,如果两个结果一致,则表明私钥和证书是匹配的,可以正确启动nginx。
[root@PUS*-021 ssl]# openssl x509 -noout -modulus -in ca_****.crt | openssl md5
(stdin)= 8216eeaa8e1a346dd1f5dfecaadfec1d
[root@PUS*-021 ssl]# openssl rsa -noout -modulus -in ****.com.key | openssl md5
(stdin)= 8216eeaa8e1a346dd1f5dfecaadfec1d
2 放到Nginx配置文件cert目录下(目录随意)
3 打开Nginx配置文件添加对应证书并保存
添加或替换红圈里的内容为对应的证书文件目录
listen 443 ssl; # managed by Certbot
# ssl证书地址
ssl_certificate /etc/nginx/cert/xxx.com.crt; # crt文件的路径
ssl_certificate_key /etc/nginx/cert/xxx.com.key; # key文件的路径
# ssl验证相关配置
ssl_session_timeout 5m; #缓存有效期
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #安全链接可选的加密协议
ssl_prefer_server_ciphers on; #使用服务器端的首选算法
4 查看Nginx配置信息是否正确
5 重启Nginx
./nginx -s reload
6 查看证书是否配置成功 查看证书信息 颁发时间及到期时间是不是跟证书一致
打开对应的网站 https://xxx.com