SSL证书的定义
SSL(Secure Sockets Layer,安全套接层)是一种网络传输协议,它提供了在不安全的网络环境中保护数据传输的安全性,SSL证书是一种用于标识网站身份的安全证书,它由权威的证书颁发机构(CA)签发,用于验证网站的真实性和安全性,安装和配置SSL证书后,网站将使用HTTPS协议进行通信,从而保护用户数据的隐私和安全。
安装SSL证书的方法
1、购买SSL证书
需要从权威的证书颁发机构(CA)购买SSL证书,市场上有很多知名的CA,如DigiCert、GlobalSign、Let’s Encrypt等,购买SSL证书时,需要根据服务器的域名选择合适的证书类型,如单域名证书、通配符证书等。
2、下载SSL证书文件
购买并支付成功后,系统会自动发送一封包含证书文件的电子邮件,通常,证书文件包括两个部分:一个是.crt文件,用于存储公钥;另一个是.key文件,用于存储私钥,请确保将这两个文件保存在安全的位置,以便后续配置。
3、安装SSL证书到服务器
接下来,需要将SSL证书文件安装到服务器上,这里以Nginx服务器为例,介绍如何安装和配置SSL证书。
(1)备份Nginx配置文件
在安装SSL证书之前,建议先备份当前的Nginx配置文件,以防万一出现问题,可以使用以下命令备份配置文件:
sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak
(2)编辑Nginx配置文件
使用文本编辑器打开Nginx配置文件,
sudo nano /etc/nginx/nginx.conf
在http块中添加以下内容,用于指向刚刚下载的SSL证书文件:
server {
listen 80;
server_name example.com; 将example.com替换为你的域名
return 301 https://$host$request_uri; 将example.com替换为你的域名
}
在server块中添加以下内容,用于配置HTTPS协议:
server {
listen 443 ssl; 监听443端口,启用SSL加密
ssl_certificate /path/to/your/certificate.crt; 将路径替换为你的证书文件路径
ssl_certificate_key /path/to/your/private.key; 将路径替换为你的私钥文件路径
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 支持的TLS版本
ssl_prefer_server_ciphers on; 使用服务器端密码套件列表中的密码套件
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA'; 支持的密码套件列表
ssl_session_cache shared:SSL:10m; 设置共享会话缓存大小
ssl_session_timeout 10m; 设置会话超时时间(单位:秒)
ssl_verify off; 关闭客户端证书验证(仅适用于测试环境)
ssl_prefer_server_ciphers on; 使用服务器端密码套件列表中的密码套件
auth_basic "Restricted"; 设置登录页面的提示信息
auth_basic_user_file /etc/nginx/.htpasswd; 如果需要自定义登录页面,请设置该项为正确的用户认证文件路径(如果没有用户认证功能,可以注释掉此行)
}
(3)重启Nginx服务
保存配置文件后,重启Nginx服务以应用新的配置,在大多数系统中,可以使用以下命令重启Nginx:
sudo systemctl restart nginx
验证SSL证书安装与配置是否成功
1、在浏览器中访问你的网站,查看地址栏是否显示绿色的锁标志和“https://”前缀,这表明你的网站已经成功启用了HTTPS协议。
2、在浏览器的开发者工具中查看网络请求,尝试访问一个使用HTTPS协议的资源,如一个图片或API接口,观察请求和响应是否都使用了HTTPS协议,如果仍然使用HTTP协议,可能是配置有问题或者防火墙限制了HTTPS流量。
原创文章,作者:酷盾叔,如若转载,请注明出处:https://www.kdun.com/ask/146467.html
微信扫一扫