文档章节

HTTPS服务器配置

chhuean
 chhuean
发布于 2016/06/28 23:05
字数 767
阅读 8
收藏 0

一、SSL证书申请

1、确认需要申请证书的域名

2、生成私钥和csr文件

在linux机器上执行以下命令生成私钥

#openssl genrsa -out server.key 2048

在linux机器上执行以下命令生成csr文件

#openssl req -new -key server.key -out certreq.csr

以下黑色标识文字仅供参考,请根据商户自己实际情况进行填写

Country Name: CN                      //您所在国家的ISO标准代号,中国为CN

State or Province Name:guandong       //您单位所在地省/自治区/直辖市

Locality Name:shenzhen                 //您单位所在地的市/县/区

Organization Name: Tencent Technology (Shenzhen) Company Limited                 //您单位/机构/企业合法的名称 

Organizational Unit Name: R&D         //部门名称 

Common Name: www.example.com     //通用名,例如:www.itrus.com.cn。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。

Email Address:                          //您的邮件地址,不必输入,直接回车跳过

"extra"attributes                        //以下信息不必输入,回车跳过直到命令执行完毕。

执行上面的命令后,在当前目录下即可生成私钥文件server.keycertreq.csr csr文件

3、将生成的csr文件提交给第三方证书颁发机构申请对应域名的服务器证书,同时将私钥文件保存好,以免丢失。

4、证书申请后,证书颁发机构会提供服务器证书内容和两张中级CA证书,请按证书颁发机器说明生成服务器证书,此处假设服务器证书文件名称为server.pem

5、将生成的私钥文件server.key和服务器证书server.pem拷贝至服务器指定的目录即可进行HTTPS服务器配置

二、HTTPS服务器配置

1、 Nginx配置

server {

listen       443;   #指定ssl监听端口

server_name  www.example.com;

ssl on;    #开启ssl支持

ssl_certificate      /etc/nginx/server.pem;    #指定服务器证书路径

ssl_certificate_key  /etc/nginx/server.key;    #指定私钥证书路径

ssl_session_timeout  5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;     #指定SSL服务器端支持的协议版本

ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;    #指定加密算法

ssl_prefer_server_ciphers   on;    #在使用SSLv3和TLS协议时指定服务器的加密算法要优先于客户端的加密算法

#以下内容请按域名需要进行配置,此处仅供参考

location / {

return 444;

}

}

2、其它web服务器配置

请参考文档:http://www.itrus.cn/html/fuwuyuzhichi/fuwuqizhengshuanzhuangpeizhizhinan《服务器证书配置指南》

三、相关事项

1、证书颁发机构

推荐天威诚信,具体请见:http://www.itrus.com.cn

2、 参考文档

http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_prefer_server_ciphers 《ngx_http_ssl_module》

http://nginx.org/cn/docs/http/configuring_https_servers.html《nginx配置HTTPS服务器》

http://www.itrus.cn/html/fuwuyuzhichi/fuwuqizhengshuanzhuangpeizhizhinan《服务器证书配置指南》

3、常见问题

(1)证书受信任的问题

部分国内签发的SSL证书,在Android上不受信任,推荐GeoTrust;

(2)如果页面有动静分离,静态资源使用独立域名的话,也需要为该域名申请证书;

(3)android低版本不支持SNI扩展,受此限制,一台服务器只能部署一个数字证书;

© 著作权归作者所有

chhuean
粉丝 0
博文 7
码字总数 1089
作品 0
宁波
私信 提问

暂无文章

Spring Security 自定义登录认证(二)

一、前言 本篇文章将讲述Spring Security自定义登录认证校验用户名、密码,自定义密码加密方式,以及在前后端分离的情况下认证失败或成功处理返回json格式数据 温馨小提示:Spring Security...

郑清
17分钟前
1
0
php yield关键字以及协程的实现

php的yield是在php5.5版本就出来了,而在初级php界却很少有人提起,我就说说个人对php yield的理解 Iterator接口 在php中,除了数组,对象可以被foreach遍历之外,还有另外一种特殊对象,也就是继承...

冻结not
30分钟前
1
0
servlet请求和响应的过程

本文转载于:专业的前端网站➥servlet请求和响应的过程 1.加载 Servlet类被加载到Java虚拟机中,并且实例化。在这个过程中,web容器(例如tomcat)会调用Servlet类的公开无参构造函数,产生一...

前端老手
30分钟前
2
0
golang 1.13 errors 包来了,不用写“err 气功波”代码

引 这篇是对 errors 包 的姿势挖掘 气功波错误代码 从 http.Get()返回的错误 判断 syscall.ECONNREFUSED 错误.以前要对 go 标准库 error 结构有点熟悉,才能写出下面的代码 func CmdErr(err ...

guonaihong
33分钟前
23
0
喜玛拉雅已听书单

时间倒序排 书名 作者 状态 唐砖 孑与2 进行中 死灵之书(克苏鲁神话合集) 阿卜杜拉·阿尔哈萨德 进行中 赡养人类 刘慈欣 完结 赡养上帝 刘慈欣 完结 中国太阳 刘慈欣 完结 中国太阳 刘慈欣...

Alex_Java
35分钟前
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部