查看当前安装的OpenSSL版本所支持的密码列表,可以使用下列命令:openssl ciphers

苹果ATS检测:https://www.qcloud.com/product/ssl 刚开始"PFS(完全正向保密)"这一项未成功通过,升级Nginx版本后才通过了

具体配置方法:https://www.qcloud.com/document/product/400/6973

Nginx 证书加密套件配置:

更新Nginx根目录下 conf/nginx.conf 文件如下:

server {

    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

}

--------------------------------------------------------------------------------------------------------

Nginx 配置支持HTTPS

vim nginx.conf

server {

    listen 80;

    listen 443 ssl;

    server_name  *.*.com

    ...
    #ssl on;  #在同一个server{}里配置同时开启http和https时,不需要开启此项!

    ssl_certificate /data/mysite/htdocs/server.crt;

    ssl_certificate_key /data/mysite/htdocs/server.key;

    ...

    }

http 与https并存

nginx配置https的官网链接:http://nginx.org/en/docs/http/configuring_https_servers.html

--------------------------------------------------------------------------------------------------------

Nginx证书部署
一、 获取pem格式的证书公私钥
1.使用mpki方式申请证书的。
首先登录mpki系统:https://mpki.trustasia.com。然后下载证书

订单密码:下订单时候设置的密码
证书密码:解压密码(下载下来的是证书的zip的压缩文件)
证书格式:pem for nginx

解压后会获得两个文件:cer后缀的是证书公钥(此文件可以改名为server.pem),key后缀的是私钥(可以改名为server.key)

2.非mpki方式
这种方式私钥key是自行生成的(可以改名为server.key)。
证书公钥可以这样提取:

收到证书颁发邮件,邮件里有证书 和 证书链 两部分。把代码部分(包含-----BEGIN CERITIFICATE-----到-----END CERITIFICATE-----)一起复制保存到一个新的文本文档中,顺序是证书代码在前面,证书链代码在后面,这样新的文本文档里有两段甚至多段证书代码。新的文本文档名可以叫做server.pem

二、 在nginx里部署证书及优化配置ssl
到nginx的conf目录,找到nginx.conf文件,修改或者配置这样一段
server {
        listen       443;
        server_name  www.trustasia.com #你们的域名,如www.abc.com;
        ssl                on;
        ssl_certificate      /xxx/xxx/server.pem;
        ssl_certificate_key   /xxx/xxx/server.key;
        ssl_session_timeout  5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;#按照这个加密套件配

location / {
            root   html; #站点目录
            index  index.html index.htm;
        }
}

下面为配置文件参数说明:
listen       443
SSL访问端口号为443

ssl       on
启用SSL功能

ssl_certificate
证书文件server.pem

ssl_certificate_key
私钥文件server.pem

ssl_protocols
使用的协议

ssl_ciphers
配置加密套件,写法遵循openssl标准

配置完成后,先用bin/nginx –t来测试下配置是否有误,正确无误的话,建议重启nginx。(不是reload)

三、 使用全站加密,http自动跳转https(可选)
对于用户,不是不知道https,就是知道https也因为懒,不愿意输入https。这样就有一个需求,让服务器自动把http的请求重定向到https。

在服务器这边的话配置的话,可以在页面里加js脚本,也可以在后端程序里写重定向,当然也可以在web服务器来实现跳转。Nginx是支持rewrite的(只要在编译的时候没有去掉pcre)

在http的server里
增加rewrite   ^(.*) https://$host$1 permanent;

这样就可以实现80进来的请求,重定向为https了。

转载于天宇骑士

Nginx ssl证书部署方法的更多相关文章

  1. Nginx ssl证书部署

    查看当前安装的OpenSSL版本所支持的密码列表,可以使用下列命令:openssl ciphers 苹果ATS检测:https://www.qcloud.com/product/ssl 刚开始&quo ...

  2. CentOS 7.2 下nginx SSL证书部署的方法(使用crt以及key 配置)

    转自:https://www.jb51.net/article/107350.htm 环境 系统环境:CentOS6.7 nginx version: nginx/1.8.1 证书 ? 1 2 3 # ...

  3. SSL证书生成方法【转】

    转自 SSL证书生成方法 - fyang的专栏 - 博客频道 - CSDN.NEThttp://blog.csdn.net/fyang2007/article/details/6180361 一般情况 ...

  4. windows下 申请免费ssl证书的方法 (letsencrypt)

    Let's Encrypt,官网是https://letsencrypt.org/,它是一个由各大公司赞助的公益组织: 有趋势有需求,自然也有免费可用.免费的SSL证书中,首推就是Let's Encr ...

  5. SSL证书部署

    SSL证书部署指南 https://www.trustauth.cn/ssl-guide

  6. Nginx配置SSL证书部署HTTPS方法

    1.申请域名,绑定服务器ip(我申请的是阿里云服务器,以下就此为例) 2.可以在阿里云上免费申请SSL证书(下载证书,后续会用到) 3.在服务器中配置证书 在服务器上安装Nginx 将下载好的证书上传 ...

  7. Nginx自建SSL证书部署HTTPS网站

    一.创建SSL相关证书 1.安装Nginx(这里为了测试使用yum安装,实际看具体情况) [root@localhost ~]# yum install nginx -y #默认yum安装已经支持SS ...

  8. nginx配置ssl证书的方法

    Nginx (读音"engine x") 是一个高性能的HTTP和反向代理服务器,比Apache占用更少的内存,同时也像Apache一样支持HTTPS方式访问(SSL加密).本教程 ...

  9. Nginx 下配置SSL证书的方法

    1.Nginx 配置 ssl 模块 默认 Nginx 是没有 ssl 模块的,而我的 VPS 默认装的是 Nginx 0.7.63 ,顺带把 Nginx 升级到 0.7.64 并且 配置 ssl 模块 ...

随机推荐

  1. Zabbix利用orabbix插件监控Oracle数据库

    一.jdk的安装(Orabbix Server) 1.软件解压,放到固定位置 1 2 tar zxf jdk-8u51-linux-x64.tar.gz mv jdk1.8.0_51/ /usr/lo ...

  2. Maven Project pom.xml属性解析

    pom.xml文件: groupId 定义了项目属于哪个组,根据自己的情况命名,比如谷歌公司的angular项目,就取名为 com.google.angular artifactId  定义了当前Ma ...

  3. route

    route   添加/删除一条到192.168.3.0/24的路由,网关为192.168.1.254? route add/del  -net 192.168.3.0 netmask 255.255. ...

  4. visual studio 版本管理从tfs迁移到svn

    1.首先要解除解决方案的tfs绑定 清除(删除)项目下的所有版本控制文件,这些文件有:*.vssscc,*.vspscc 删除这些版本控制文件比较简单,搜索这些后缀的文件,删除即可. 修改项目的解决方 ...

  5. centos找不到vim命令

    linux系统执行vim命令时,提示centos -bash : vim:command not found   这个时候需要检查vim编辑器是否安装:   输入rpm -qa|grep vim命令, ...

  6. CS229 7.2 应用机器学习方法的技巧,准确率,召回率与 F值

    建立模型 当使用机器学习的方法来解决问题时,比如垃圾邮件分类等,一般的步骤是这样的: 1)从一个简单的算法入手这样可以很快的实现这个算法,并且可以在交叉验证集上进行测试: 2)画学习曲线以决定是否更多 ...

  7. LOJ6268拆分数

    /* 相当于每种物品都有无限个的背包 毕竟考场上写exp是个比较危险的行为 对数据进行根号分治是个比较好的方法 对于小于等于根号的部分暴力背包转移 对于大于根号的 最多只会拿根号个 dp一下就好了 * ...

  8. 有趣的console.log(console.log输出彩色字,图片等)

    亲们支持我的新博客哦==>原文地址 ) 逛网站的时候经常发现很多网站控制台打印了很好玩的内容 比如我的网站 →calamus 或者知乎→ 平时是不是只用console调试或者打印别的信息了,没有 ...

  9. Java SPI机制简介

    SPI 简介 SPI 全称为 (Service Provider Interface) ,是JDK内置的一种服务提供发现机制. 目前有不少框架用它来做服务的扩展发现, 简单来说,它就是一种动态替换发现 ...

  10. win7 安装英文语言包

    因为某些英文程序字符显示不全,所以考虑把 win7 改为英文语言.直接下载英文语言包安装不成功,经过多次尝试和百度终于找到合适的办法. 下载 Vistalizator.exe, windows6.1- ...