CentOS 下对 Nginx + Tomcat 组合的申请 SSL 证书的安装
《
CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》介绍的是自己给自己颁发服务器端证书、然后再给客户端颁发证书的情况。如果你已经像你的客户一样厌倦了访问你们的网站时,浏览器弹出的安全警报,那就去申请一个 SSL 证书,如 VeriSign、GlobalSign,一般是几千块钱一年的有效期。本文介绍对于 Nginx + Tomcat 组合的 SSL 购买证书的安装。
sudo openssl genrsa -out server/server.key 2048
然后为我们的 key 创建一个证书签名请求 csr 文件,server.csr:
sudo opensslreq -new -key server/server.key -out server/server.csr
之后拿着这个 csr 文件去购买一个 SSL 证书,数字证书提供商会在邮件里提供给你签名证书的内容,新建一个名为 server.crt 的文件并把购买的证书内容以文本格式复制进该文件。最后把 server.key 和 server.crt 放到 nginx 所在服务器主机以供 nginx 使用。
其他《 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》所述的 CA 根证书、客户端证书不用管。
1. 单向验证 SSL 证书的安装
1.1 nginx 安装
同《 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》所述。1.2 证书的购买
先创建一个服务器端的 key,server.key,一般是 2048 位的:sudo openssl genrsa -out server/server.key 2048
然后为我们的 key 创建一个证书签名请求 csr 文件,server.csr:
sudo opensslreq -new -key server/server.key -out server/server.csr
之后拿着这个 csr 文件去购买一个 SSL 证书,数字证书提供商会在邮件里提供给你签名证书的内容,新建一个名为 server.crt 的文件并把购买的证书内容以文本格式复制进该文件。最后把 server.key 和 server.crt 放到 nginx 所在服务器主机以供 nginx 使用。
其他《 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》所述的 CA 根证书、客户端证书不用管。
1.3 nginx 配置
基本同《 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》所述,ssl_certificate 指向刚才生成的 server.crt 文件,然后把双向验证的部分(ssi、ssi_silent_errors、ssi_types、ssl_client_certificate 等指令)去掉即可。1.4 tomcat 配置
同《 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》所述。就这些,配置部署好访问你的 SSL 网站吧。
