查看当前安装的OpenSSL版本所支持的密码列表,可以使用下列命令:openssl ciphers

苹果ATS检测:https://www.qcloud.com/product/ssl 刚开始"PFS(完全正向保密)"这一项未成功通过,升级Nginx版本后才通过了

具体配置方法:https://www.qcloud.com/document/product/400/6973

Nginx 证书加密套件配置:

更新Nginx根目录下 conf/nginx.conf 文件如下:

server {

    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

}

--------------------------------------------------------------------------------------------------------

Nginx 配置支持HTTPS

vim nginx.conf

server {

    listen 80;

    listen 443 ssl;

    server_name  *.*.com

    ...
    #ssl on;  #在同一个server{}里配置同时开启http和https时,不需要开启此项!

    ssl_certificate /data/mysite/htdocs/server.crt;

    ssl_certificate_key /data/mysite/htdocs/server.key;

    ...

    }

http 与https并存

nginx配置https的官网链接:http://nginx.org/en/docs/http/configuring_https_servers.html

--------------------------------------------------------------------------------------------------------

Nginx证书部署
一、 获取pem格式的证书公私钥
1.使用mpki方式申请证书的。
首先登录mpki系统:https://mpki.trustasia.com。然后下载证书

订单密码:下订单时候设置的密码
证书密码:解压密码(下载下来的是证书的zip的压缩文件)
证书格式:pem for nginx

解压后会获得两个文件:cer后缀的是证书公钥(此文件可以改名为server.pem),key后缀的是私钥(可以改名为server.key)

2.非mpki方式
这种方式私钥key是自行生成的(可以改名为server.key)。
证书公钥可以这样提取:

收到证书颁发邮件,邮件里有证书 和 证书链 两部分。把代码部分(包含-----BEGIN CERITIFICATE-----到-----END CERITIFICATE-----)一起复制保存到一个新的文本文档中,顺序是证书代码在前面,证书链代码在后面,这样新的文本文档里有两段甚至多段证书代码。新的文本文档名可以叫做server.pem

二、 在nginx里部署证书及优化配置ssl
到nginx的conf目录,找到nginx.conf文件,修改或者配置这样一段
server {
        listen       443;
        server_name  www.trustasia.com #你们的域名,如www.abc.com;
        ssl                on;
        ssl_certificate      /xxx/xxx/server.pem;
        ssl_certificate_key   /xxx/xxx/server.key;
        ssl_session_timeout  5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;#按照这个加密套件配

location / {
            root   html; #站点目录
            index  index.html index.htm;
        }
}

下面为配置文件参数说明:
listen       443
SSL访问端口号为443

ssl       on
启用SSL功能

ssl_certificate
证书文件server.pem

ssl_certificate_key
私钥文件server.pem

ssl_protocols
使用的协议

ssl_ciphers
配置加密套件,写法遵循openssl标准

配置完成后,先用bin/nginx –t来测试下配置是否有误,正确无误的话,建议重启nginx。(不是reload)

三、 使用全站加密,http自动跳转https(可选)
对于用户,不是不知道https,就是知道https也因为懒,不愿意输入https。这样就有一个需求,让服务器自动把http的请求重定向到https。

在服务器这边的话配置的话,可以在页面里加js脚本,也可以在后端程序里写重定向,当然也可以在web服务器来实现跳转。Nginx是支持rewrite的(只要在编译的时候没有去掉pcre)

在http的server里
增加rewrite   ^(.*) https://$host$1 permanent;

这样就可以实现80进来的请求,重定向为https了。

转载于天宇骑士

Nginx ssl证书部署方法的更多相关文章

  1. Nginx ssl证书部署

    查看当前安装的OpenSSL版本所支持的密码列表,可以使用下列命令:openssl ciphers 苹果ATS检测:https://www.qcloud.com/product/ssl 刚开始&quo ...

  2. CentOS 7.2 下nginx SSL证书部署的方法(使用crt以及key 配置)

    转自:https://www.jb51.net/article/107350.htm 环境 系统环境:CentOS6.7 nginx version: nginx/1.8.1 证书 ? 1 2 3 # ...

  3. SSL证书生成方法【转】

    转自 SSL证书生成方法 - fyang的专栏 - 博客频道 - CSDN.NEThttp://blog.csdn.net/fyang2007/article/details/6180361 一般情况 ...

  4. windows下 申请免费ssl证书的方法 (letsencrypt)

    Let's Encrypt,官网是https://letsencrypt.org/,它是一个由各大公司赞助的公益组织: 有趋势有需求,自然也有免费可用.免费的SSL证书中,首推就是Let's Encr ...

  5. SSL证书部署

    SSL证书部署指南 https://www.trustauth.cn/ssl-guide

  6. Nginx配置SSL证书部署HTTPS方法

    1.申请域名,绑定服务器ip(我申请的是阿里云服务器,以下就此为例) 2.可以在阿里云上免费申请SSL证书(下载证书,后续会用到) 3.在服务器中配置证书 在服务器上安装Nginx 将下载好的证书上传 ...

  7. Nginx自建SSL证书部署HTTPS网站

    一.创建SSL相关证书 1.安装Nginx(这里为了测试使用yum安装,实际看具体情况) [root@localhost ~]# yum install nginx -y #默认yum安装已经支持SS ...

  8. nginx配置ssl证书的方法

    Nginx (读音"engine x") 是一个高性能的HTTP和反向代理服务器,比Apache占用更少的内存,同时也像Apache一样支持HTTPS方式访问(SSL加密).本教程 ...

  9. Nginx 下配置SSL证书的方法

    1.Nginx 配置 ssl 模块 默认 Nginx 是没有 ssl 模块的,而我的 VPS 默认装的是 Nginx 0.7.63 ,顺带把 Nginx 升级到 0.7.64 并且 配置 ssl 模块 ...

随机推荐

  1. zabbix 3.4新功能值解析——Preprocessing预处理

    Zabbix 3.4版本更新了许多新功能,其中一个监控项功能Preprocessing,根据官方说明文档,在监控项收集的数据存储到数据库前,预先对数据进行处理,使用效果超过预期.这个功能存放位置在创建 ...

  2. 解决在word中不能使用输入法

    打开一个Word文档-------------->单击 文件---->选项---->高级---->取消什么?看图 然后重新启动word

  3. Python函数式编程-高阶函数、匿名函数、装饰器、偏函数

  4. (转)SQL知识_Sql日期时间格式转换

    原文地址:http://www.cnblogs.com/Gavinzhao/archive/2009/11/10/1599690.html sql server2000中使用convert来取得dat ...

  5. cocos子节点转父节点坐标 原理浅析(局部坐标转世界坐标同理)

    在CCNode的类中,有一个得到 一个节点坐标系转换父亲坐标系的一个矩阵,节点内坐标乘以这个矩阵,就可以转换为在节点父节点中的坐标,方法名为: Mat4& Node::getNodeToPar ...

  6. selenuim和phantonJs处理网页动态加载数据的爬取

    一.图片懒加载 什么是图片懒加载? 案例分析:抓取站长素材http://sc.chinaz.com/中的图片数据 #!/usr/bin/env python # -*- coding:utf-8 -* ...

  7. Getting Physical With Memory.CPU如何操作内存

    原文标题:Getting Physical With Memory 原文地址:http://duartes.org/gustavo/blog/ [注:本人水平有限,只好挑一些国外高手的精彩文章翻译一下 ...

  8. JavaScript基础知识:数据类型,运算符,流程控制,语法,函数。

    JavaScript概述 ECMAScript和JavaScript的关系 1996年11月,JavaScript的创造者--Netscape公司,决定将JavaScript提交给国际标准化组织ECM ...

  9. vue项目安装sass/scss

    vue 添加scss 安装好之后使用: 注意scss和sass的语法区别,scss是用传统花括号,sass是缩进控制,看个人习惯选择语言 sass语法看这里==>sass基本语法 vue项目编译 ...

  10. 安全测试3_Web后端知识学习

    其实中间还应该学习下web服务和数据库的基础,对于web服务大家可以回家玩下tomcat或者wamp等东西,数据库的话大家掌握基本的增删该查就好了,另外最好掌握下数据库的内置函数,如:concat() ...