由于自己生成的证书不受浏览器信任,所以需要到第三方ssl证书提供商处购买,在购买ssl证书时,需要提供一个自己的web服务器生成的csr密码。
生成csr的步骤:
①:生成RSA密钥:
$openssl genrsa -out privkey.pem 2048注意,有的证书是要 1024 的,所以得:
openssl genrsa -out privkey.pem 1024 ②:生成csr证书:
openssl req -new -key privkey.pem -out cert.csr 会提示输入省份、城市、域名信息等,重要的是,email 一定要是你的域名后缀的,比如 [email protected] 并且能接受邮件,因为ssl证书提供商会发送验证邮件和证书文件压缩包到这个邮箱。
这样就有一个 csr 文件了,直接vi ./cert.csr 查看证书的内容,是一串字符串,如下:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
把所有文件全部上传到一个特定的目录,比如我是上传到 /usr/local/nginx/conf。
这里,zoulukey.pem 和 zoulucert.csr 是自己原来在web服务器生成的,剩下的都是证书签发机构颁发的。
一般情况下,直接用证书签发机构颁发的 crt 文件即可,比如 zou_lu.crt ,但是有很多证书签发机构默认在 Firefox 中文版下是不会信任的,经过仔细研究,终于发现,原来得把证书签发机构给你的 crt 文件也放入才行,这时需要合并 PositiveSSLCA.crt (证书签发机构的 crt)和zou_lu.crt (自己域名的 crt),方法如下:
cat zou_lu.crt >> PositiveSSLCA.crt
mv PositiveSSLCA.crt zou_lu.crt 上传证书完成后,需要修改nginx的配置,因为并不需要整站https访问,所以需要http和https访问共存,如下:
server {
listen 80;
listen 443 ssl;
server_name zou.lu;
root /var/www/html;
#ssl on; //这行必须要注释掉
ssl_certificate /usr/local/nginx/conf/zou_lu.crt;
ssl_certificate_key /usr/local/nginx/conf/zoulukey.pem;
}配置完成,现在试着用http和https访问同一个链接,应该都可以访问了。