一、下载证书
项目在对接时用到了https,此时就想起配置ssl证书,证书购买有点小贵,就想着弄个免费的证书来用。
有很多证书的申请网站,我们今天主要用到Let’s Encrypt。它是国外一个公共的免费SSL项目,由 Linux 基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS。
Let’s Encrypt安装部署简单、方便,目前Cpanel、Oneinstack等面板都已经集成了Let’s Encrypt一键申请安装,网上也有不少的利用Let’s Encrypt开源的特性制作的在线免费SSL证书申请网站,总之Let’s Encrypt得到大家的认可。
2.账号管理。
申请证书
信息填写,根据自己的需求选择泛域名和包含根域名。
直接下一步就行。
选Let' Encrypt(首选,3个月有效期)就行,这个免费的不是永久的,需要每隔三个月来申请一次。提交申请。
提交申请后,需要进行验证。
验证有两种方式,自行选择。
验证完成后下载证书。
二、nginx配置ssl证书。
最基本的配置
ssl_certificate "path\fullchain.crt"
ssl_certificate_key "path\private.pem"
server
{
listen 80;
listen 443 ssl http2;
ssl_certificate path\fullchain.crt;
ssl_certificate_key path\private.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
# 开启OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
}
将下载好的证书上传到服务器。
配置信息,编译nginx.conf文件。
重启nginx。
./nginx -s reload
重启成功后,可通过https进行界面请求
需要注意的是一般使用的服务器都有安全组,我们需要将443端口进行开放才能正常使用https访问资源。