Nginx配置SSL证书

步骤1 下载证书及证书转换

1. 补全信息时，“证书请求文件”选择的“粘贴已有CSR”请参考以下步骤进行配置。

a. 单击“下载证书”，下载的文件包含了一个pem文件。

“server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。

b. 修改server.pem的后缀名为crt，和生成CSR时的私钥server.key放在一个文件夹内。

2. 补全信息时，“证书请求文件”选择的“在线生成CSR”请参考以下步骤进行配置。

a. 单击“下载证书”，下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图1-1所示。

图1-1 解压SSL证书

b. 从Nginx文件夹内获得证书文件“server.crt ”和私钥文件“server.key”。

“server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。

“server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。

步骤2 在Nginx的安装目录下创建cert目录，并且将“server.key”和“server.crt”拷贝到nginx的“cert”目录下。

步骤3 配置Nginx中conf同目录下的“nginx.conf”文件。

修改如下参数：

ssl_certificatecert/server.crt;

ssl_certificate_keycert/server.key;

完整的配置如下，其余参数根据实际情况修改：

server {

listen443;

server_namewww.domain.com; #用户服务器的域名

sslon;

ssl_certificatecert/server.crt;

ssl_certificate_keycert/server.key;

ssl_session_timeout5m;

ssl_protocolsTLSv1 TLSv1.1 TLSv1.2;

ssl_ciphersECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

ssl_prefer_server_cipherson;

location / {

roothtml; #站点目录

indexindex.html index.htm;

}

}

注意：不要直接拷贝所有配置，参数中ssl开头的属性与证书配置有直接关系，其它参数请根据自己的实际情况修改。

参数说明，如表1-1所示。

表1-1 参数说明

参数	参数说明
listen	SSL访问端口号，设置为“443”。
SSL	设置为“on”，启用SSL功能。
ssl_certificate	证书文件“server.crt”。 设置为“server.crt”文件的路径，且路径中不能包含中文字符， 例如“cert/server.crt”。
ssl_certificate_key	私钥文件“server.key”。 设置为“server.key”的路径，且路径中不能包含中文字符， 例如“cert/server.key”。
ssl_protocols	使用的协议。
ssl_ciphers	配置加密套件，写法遵循OpenSSL标准。

步骤4 修改完成后保存配置文件，验证配置是否正确。

进入nginx执行目录下，执行以下命令：

sbin/nginx -t

配置正确，回显信息如下所示：

nginx.conf syntax is ok

nginx.conf test is successful

步骤5 重启Nginx。