在Nginx服务器上安装ssl证书
SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。
通过SSL证书服务购买和签发证书后,您可以将已签发的证书下载并安装到Nginx(或Tengine)服务器上。本文介绍了下载SSL证书并在Nginx(或Tengine)服务器上安装证书的具体操作。
前提条件
- 已经通过SSL证书服务完成证书签发。更多信息,请参见阿里云提交证书申请。
- 已准备好远程登录工具(例如PuTTY、Xshell),用于登录您的Web服务器。
背景信息
本文以CentOS 8操作系统、Nginx 1.14.1服务器系统为例进行说明。由于服务器系统版本不同,您在操作过程中使用的命令可能会略有区别。本文中出现证书文件名称的地方,统一使用cert-file-name为例进行描述。例如,本文中用到的证书文件为cert-file-name.pem、证书密钥文件为cert-file-name.key。
注意 您在实际操作过程中,需要根据示例代码中的提示,将cert-file-name替换成您的证书文件的名称。关于如何获取证书文件的名称,请参见下载证书到本地。
步骤1:下载证书到本地
- 登录SSL证书控制台。
- 在概览等相关页面,单击证书列表上方的证书状态下拉列表,并选择已签发。该操作将会筛选出所有已经通过CA机构签发的证书。
- 定位到要下载的证书,单击操作列下的下载。
- 在证书下载页面,定位到Nginx服务器,单击操作列下的下载。该操作会将Nginx服务器证书压缩包下载到本地,并保存在浏览器的默认下载位置。
- 打开浏览器的默认下载位置,解压已下载的Nginx证书压缩包文件。解压后您将会获得以下文件:
- PEM格式的证书文件。注意 在后续安装证书的操作中,您必须使用真实的证书文件名称替换示例代码中的
cert-file-name。PEM格式的证书文件是采用Base64编码的文本文件,您可以根据需要将证书文件修改成其他格式。关于证书格式的更多信息,请参见主流数字证书都有哪些格式。 - 可选:KEY格式的证书密钥文件。注意 如果您在申请证书时将CSR生成方式设置为手动填写,则下载的证书文件压缩包中不会包含KEY文件,您需要手动创建证书密钥文件。
- PEM格式的证书文件。注意 在后续安装证书的操作中,您必须使用真实的证书文件名称替换示例代码中的
- 在Nginx服务器上安装证书。根据您是否使用独立的Nginx服务器,安装证书的操作不同:
- 如果您使用的是独立服务器,请参见阿里云步骤2:(可选)在Nginx独立服务器上安装证书。
- 如果您使用的是虚拟主机,请参见下面步骤2:(可选)为Nginx虚拟主机配置SSL证书。
步骤2:(可选)为Nginx虚拟主机配置SSL证书
1、登录您的虚拟机。在Web根目录和nginx配置目录下分别创建cert目录,并将下载的证书文件和密钥文件拷贝到cert目录中。
2、打开虚拟主机配置文件,将以下内容复制粘贴到文件末尾。
说明 不同服务器系统的虚拟主机配置文件不同,例如,Nginx服务器默认是*.conf、Apache服务器默认是vhosts.conf等。关于虚拟主机配置文件的具体路径,请参照服务器使用说明中关于开启虚拟主机方法的介绍。保存vhost.conf或*.conf文件并退出。
server {
listen 443 ssl;
server_name localhost;
root html;
index index.html index.htm;
ssl_certificate cert/cert-file-name.pem; #需要将cert-file-name.pem替换成已上传的证书文件的名称。
ssl_certificate_key cert/cert-file-name.key; #需要将cert-file-name.key替换已上传的证书密钥文件的名称。
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
index index.html index.htm;
}
}
注意:如果是php程序,需要更改添加配置相应的location
可选:设置HTTP请求自动跳转HTTPS。如果您希望所有的HTTP访问自动跳转到HTTPS页面,则可以在Web目录下打开.htaccess文件(如果没有,需新建该文件),并添加以下rewrite语句。
RewriteEngine On
RewriteCond %{HTTP:From-Https} !^on$ [NC]
RewriteCond %{HTTP_HOST} ^(www.)?yourdomain.com$ [NC] #需要将yourdomain.com替换成证书绑定的域名。
RewriteRule ^(.*)$ https://www.yourdomain.com/$1 [R=301,L] #需要将yourdomain.com替换成证书绑定的域名。
关于HTTP跳转,请详见:
设置HTTP请求自动跳转HTTPS方式:
3、重启相关服务。
注意 证书安装成功后,您需要在虚拟主机上配置伪静态规则,这样您的网站才能全站都支持HTTPS,否则只有网站的主页支持HTTPS,网站的子目录将不支持HTTPS。这句话据实际而言。
4、验证证书是否安装成功
证书安装完成后,您可通过访问证书的绑定域名验证该证书是否安装成功。