這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)nginx中怎么配置https證書，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯(lián)公司是一家專業(yè)提供商州企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站制作、成都網(wǎng)站建設(shè)、H5技術(shù)、小程序制作等業(yè)務(wù)。10年已為商州眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

首先我們來回顧一下https的原理，首先我們看圖：

第一步、客戶端發(fā)送請(qǐng)求，服務(wù)器將證書發(fā)送給客戶端，證書的本質(zhì)是第三方CA的私鑰加密的內(nèi)容，其內(nèi)容是服務(wù)器的公鑰。

第二步、客戶端接收到證書后，用操作系統(tǒng)和瀏覽器內(nèi)置的CA公鑰去匹配驗(yàn)證證書，如果能解密，說明請(qǐng)求的是目標(biāo)網(wǎng)站，不是中間人。

第三步、用CA公鑰解密證書，并將服務(wù)器公鑰解密出來。到這一步，客戶端安全的拿到了服務(wù)器端的公鑰。

第四步、生成隨機(jī)數(shù)，用服務(wù)器公鑰加密隨機(jī)數(shù)發(fā)送到服務(wù)器端。

第五步、服務(wù)器端用服務(wù)器私鑰解密信息，得到隨機(jī)數(shù)

我們仔細(xì)閱讀上面的流程，我們將客戶端和服務(wù)器端用到的工具分一下類：

客戶端用到的如下：

1、CA機(jī)構(gòu)的公鑰：已經(jīng)內(nèi)置到系統(tǒng)中不需要處理

2、公鑰證書：服務(wù)器端發(fā)送給客戶端的，客戶端會(huì)自動(dòng)用CA公鑰解密證書

3、服務(wù)器公鑰：客戶端用CA公鑰解密證書獲得

4、隨機(jī)數(shù)生成對(duì)稱秘鑰：自動(dòng)生成

服務(wù)器端：

1、公鑰證書 需要去申請(qǐng)

2、服務(wù)器端私鑰 需要服務(wù)端手動(dòng)生成

客戶端需要的工具不需要我們配置，主要是服務(wù)器端的工具，我們看到服務(wù)器端需要公鑰證書和服務(wù)器端私鑰，這兩個(gè)東西如何來的呢？

首先我們?cè)诜?wù)器端用ssh-keygen命令來生成公私鑰，在服務(wù)器端命令行中執(zhí)行,ssh-keygen會(huì)在服務(wù)器的"~/.ssh"目錄中生成兩個(gè)文件 id_rsa,id_rsa.pub，前者不帶pub后綴的為私鑰，后者帶pub后綴的為公鑰。

得到了服務(wù)器端的公鑰和私鑰后，我們需要用服務(wù)器端的公鑰去申請(qǐng)證書，這里大家如果是去向一些收費(fèi)的CA機(jī)構(gòu)申請(qǐng)證書的話，CA機(jī)構(gòu)的客服一般會(huì)想你要你的服務(wù)器公鑰和你的網(wǎng)站信息，然后CA機(jī)構(gòu)用CA機(jī)構(gòu)的私鑰加密你的服務(wù)器公鑰得到公鑰證書，然后CA機(jī)構(gòu)會(huì)將公鑰證書頒發(fā)給你。

經(jīng)過上面兩部操作我們就會(huì)得到公鑰證書和服務(wù)的私鑰，拿到這兩個(gè)文件我們可以使用配置https協(xié)議的網(wǎng)站了。

這里要說明一下，我們向有些CA機(jī)構(gòu)申請(qǐng)證書時(shí)，它不需要你提交服務(wù)器公鑰，而是它會(huì)自己生成一對(duì)服務(wù)器的公私鑰，然后把服務(wù)器公鑰用CA私鑰加密成證書，和服務(wù)器私鑰一起發(fā)送給你，阿里云的免費(fèi)證書就是這樣操作的。

首先在阿里云的控制臺(tái)點(diǎn)擊 SSL證書

進(jìn)入相應(yīng)的頁面，然后點(diǎn)擊購買證書：

進(jìn)入相應(yīng)頁面，我們購買免費(fèi)的DV證書即可，當(dāng)然如果你要求安全級(jí)別更高，可以購買 DV或者EV：

這樣我們就購買完證書了，然后根據(jù)域名去申請(qǐng)證書就可以了，這里和傳統(tǒng)的證書機(jī)構(gòu)申請(qǐng)證書還不太一樣，一些其他的CA機(jī)構(gòu)需要你把服務(wù)器公鑰和網(wǎng)站信息發(fā)給客服，客服會(huì)把證書頒發(fā)給你。

購買了免費(fèi)DV證書后，就可以去申請(qǐng)了，接著我們?nèi)ド暾?qǐng)證書，界面如下：

我們?cè)诎⒗镌瀑徺I的是申請(qǐng)證書的權(quán)利，所有可申請(qǐng)的證書全在這個(gè)列表中了，點(diǎn)擊申請(qǐng)，填寫要部署https的域名：

1處我們填寫我們的域名，可以是二級(jí)域名或者一級(jí)域名，因?yàn)槭敲赓M(fèi)的不能用通配符。

2處我們選擇自動(dòng)DNS驗(yàn)證，這里驗(yàn)證申請(qǐng)的證書用的域名所有權(quán)是你的，也就是說你不能用別人的域名申請(qǐng)https證書。

3處這里需要我們呢生成csr文件，這個(gè)文件是干嘛的呢?其實(shí)就是你的網(wǎng)站的信息，你可以讓阿里云幫你生成，這樣的話你就選擇系統(tǒng)生成，如果你不愿系統(tǒng)生成也可以自己生成。

自己生成csr的話可以去網(wǎng)上找免費(fèi)的工具來生成，如下：

我一般是選擇系統(tǒng)生成。

之后提交申請(qǐng)，申請(qǐng)通過后，會(huì)在下面欄目中出現(xiàn)證書下載地址：

我們點(diǎn)擊下載即可得到兩個(gè)文件，這里我們選擇與nginx匹配的版本：

兩個(gè)文件如下：

pem結(jié)尾的為公鑰證書，key結(jié)尾的為服務(wù)器私鑰，私鑰一定不要泄露出去。

然后我們通過改寫nginx的配置文件nginx.conf來配置https服務(wù)器。

server { listen 443; server_name localhost; ssl on; root html; index index.html index.htm; ssl_certificate   cert/a.pem; ssl_certificate_key  cert/a.key; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; location / {     root html;     index index.html index.htm; }}

配置有點(diǎn)多，但是主要的是1、4、7、8行的配置。

第一行監(jiān)聽443端口，https默認(rèn)端口為443，第四行開啟ssl，第7行配置公鑰證書，第8行配置服務(wù)器私鑰。

然后重啟nginx服務(wù)即可。

上述就是小編為大家分享的nginx中怎么配置https證書了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

本文標(biāo)題：nginx中怎么配置https證書
網(wǎng)頁網(wǎng)址：http://chinadenli.net/article10/pooggo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、ChatGPT、定制開發(fā)、品牌網(wǎng)站制作、、做網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)