一、获取SSL证书
1. 获取证书文件
在您完成申请深圳CA服务器证书的流程后,将获取一个由SZCA签发的SSL证书,可到深圳CA证书商城-我的订单下载。登录 -> 我的订单 -> 下载证书,示例如下:
2. 获取私钥证书文件
请找到之前提交csr时生成的.key私钥文件,该文件为证书的私钥,后面配置要用到。
3. 合成证书
成功合成部署文件并下载后,选择使用“apache_nginx”文件夹下的文件,示例如下:
二、安装服务器证书
1. 配置SSL证书
复制catest.top.crt、catest.top.key文件到Nginx安装目录下的conf目录,使用文本编辑器打开conf目录下的nginx.conf文件(操作前备份nginx.conf,以备错误时恢复)找到被注释掉的server 配置,进行修改:
# HTTPS server # server { listen 443 ssl; server_name catest.top; #证书绑定的网站域名 ssl_certificate catest.top.crt; #证书公钥 ssl_certificate_key catest.top.key; #证书私钥 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE; ssl_prefer_server_ciphers on; location / { root html; #站点目录 index index.html index.htm; } }
2. 重启Nginx
保存退出,并重新加载nginx配置nginx -s reload后通过https方式访问您的站点,测试证书的安装配置。
默认的SSL访问端口号为443,如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的站点,防火墙要开放相应的port。
3. 访问测试
服务器若部署了SSL证书,浏览器访问时将出现安全锁标志,如下图:
三、服务器证书的备份及恢复
在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。
1. 服务器证书的备份
备份服务器证书私钥文件catest.top.key,服务器证书文件catest.top.crt,即可完成服务器证书的备份操作
2. 服务器证书的恢复
请参照服务器证书安装部分,将服务器证书私钥文件catest.top.key,服务器证书文件catest.top.crt恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。
若服务器证书丢失,可到深圳CA证书商城-我的订单重签证书。登录 -> 我的订单 -> 重签证书,示例如下: