Linux+Nginx下SSL证书安装

  • 内容
  • 评论
  • 相关

Nginx安装SSL证书需要两个配置文件:1_root_bundle.crt、 2_domainname.com.key。

注:这三个证书文件都在文件夹for Nginx.zip中,

例:1_root_bundle.crt是根证书链(公钥),2_ domainname.com.key为私钥。(其中:证书公钥、私钥文件一般以您的域名命名;证书后缀名crt和cer的性质是一样的)。

下面进行正式安装

一.Nginx安装。

1.先安装openssl。
(1) 解压openssl:tar zxvf openssl-0.9.8k.tar.gz

wps6468.tmp

(2) 进入openssl目录:cd openssl-0.9.8k

wps6469.tmp

(3) 配置openssl:./config shared zlib make make test make install mv /usr/bin/openssl /usr/bin/openssl.save mv /usr/include/openssl /usr/include/openssl.save mv /usr/lib/libssl.so /libssl.so.save ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl ln -s /usr/local/ssl/include/openssl /usr/include/openssl ln -sv /usr/local/ssl/lib/libssl.so.0.9.8 /usr/lib/libssl.so

wps646A.tmp

2.安装Nginx。
(1)解压Nginx:tar zxvf nginx-1.4.0.tar.gz
(2)进入目录:cd nginx-1.4.0
(3)配置nginx,例:
nginx路径是:/usr/local/nginx          
openssl目录是:/usr/local/openssl-0.9.8k       
pcre目录是:/usr/local/pcre-8.31/
命令为:
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-openssl=/usr/local/openssl-0.9.8k --with-http_ssl_module --with-pcre=/usr/local/pcre-8.31/
(4)打开Nginx安装目录下conf目录中的nginx.conf文件
找到:
  # HTTPS server 
   # 
   #server { 
   #    listen       443; 
   #    server_name  localhost; 
   #    ssl            on; 
   #    ssl_certificate      cert.pem; 
   #    ssl_certificate_key  cert.key; 
   #    ssl_session_timeout  5m; 
   #    ssl_protocols  SSLv2 SSLv3 TLSv1; 
   #    ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; 
   #    ssl_prefer_server_ciphers   on; 
   #    location / { 
   #        root   html; 
   #        index  index.html index.htm; 
   #    } 
   #} 
将其修改为 :
      server { 
       listen       443; 
       server_name  localhost; 
       ssl                  on; 
       ssl_certificate      1_root_bundle.crt;      (证书公钥)
       ssl_certificate_key      2_ domainname.com.key;      (证书私钥)
       ssl_session_timeout  5m; 
       ssl_protocols  SSLv3 TLSv1; 
       ssl_ciphers  HIGH:!ADH:!EXPORT56:RC4+RSA:+MEDIUM; 
       ssl_prefer_server_ciphers   on; 
       location / { 
           root   html; 
           index  index.html index.htm; 
       } 
   }

3.本地测试访问。
如果本地测试,请做本地解析访问:打开  系统盘:\Windows\System32\Drivers\etc\hosts 文件,用文本编辑器修改,把证书绑定的域名解析到本地ip。

wps647B.tmp

4.完成配置后的效果。
启动nginx,访问https://+证书绑定的域名

wps648B.tmp

注:部署完毕后若网站无法通过https正常访问,可确认服务器443端口是否开启或被网站卫士等加速工具拦截。
(1)开启方法:防火墙设置-例外端口-添加443端口(TCP)。
(2)若被安全或加速工具拦截,可以在拦截记录中将443添加至信任列表。
重启后,重新通过https访问。

二、安装安全签章

     WoSign 全球可信网站安全认证签章为动态显示的标识(含网站访问时实时时间),不是静态图片,不可复制和不可假冒,只能在通过认证的网站使用。点击认证标识,可以显示此网站拥有者的认证信息,请一定要检查认证信息是否来自https://seal.wosign.com,否则,就不是合法使用认证标识。请注意:您必须登录您的WoSign帐户或联系您的客服专员设置需要显示认证标识的网站域名后才可以正常显示认证标识。目前该认证签章支持OV级以上证书使用,您购买了WoSign SSL证书后,将免费获得一个能直观地显示贵网站的认证信息的可信网站安全认证标识,能大大增强用户的在线信任,促成更多在线交易。所以,建议您在安装成功SSL证书后马上在网站的首页和其他页面中添加如下代码动态显示可信网站安全认证标识。

安装中文签章

如果您希望在中文页面显示认证标识,则在中文页面添加如下代码:

    <SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" SRC="https://seal.wosign.com/tws.js"></SCRIPT>

wps648C.tmp wps648D.tmp wps648E.tmp wps648F.tmp

安装英文签章

如果您希望在英文页面显示认证标识,则在英文页面添加如下代码:

<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" SRC="https://seal.wosign.com/tws-en.js"></SCRIPT>

wps6490.tmp wps6491.tmp wps6492.tmp wps6493.tmp

如果您发现有网站显示的类似以上可信网站安全认证标识,或点击认证标识后显示的网址不是来自https://seal.wosign.com,则欢迎您举报滥用 Wosign全球可信网站安全认证签章的网站。

三、 SSL证书的备份

请保存好收到的证书压缩包文件及密码,以防丢失