资讯专栏INFORMATION COLUMN

nginx服务器配置StartSSL证书

Hanks10100 / 781人阅读

摘要:概述基础服务器操作系统服务器免费认证服务协议运行机制的概述百度百科解释安全套接层及其继任者传输层安全,是为网络通信提供安全及数据完整性的一种安全协议。通过验证的邮件的,输入到浏览器中进行下一步安装证书。配置访问重启访问访问域名显示工作正常。

概述

ssl基础
服务器操作系统:aliyun ubuntu 12.04
WEB服务器:nginx 1.4.x
免费ssl认证服务:startssl.

SSL/TLS协议运行机制的概述

百度百科解释:

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

详情参见阮一峰老师的网络日志
《SSL/TLS协议运行机制的概述》

StartSSL 介绍

StartSSL是StartCom公司旗下的SSL证书,貌似是现在唯一一家提供免费SSL证书服务并且被主流浏览器支持的免费SSL,包括Chrome、Firefox、IE等浏览器都可以正常识别StartSSL,任何个人都可以从StartSSL中申请到免费一年的SSL证书。
StartSSL申请虽然要审核,但是一般十几分钟就会回复邮件了。而且经过部落的几次申请测试发现,StartSSL申请审核并不严格,如果遇到问题,你只要回复一封邮件过去回答邮件当中所提的问题,通过率几乎是100%。

使用StartSSL前必须先在自己的电脑上安装StartSSL证书,这个证书就是你用来登录和管理StartSSL申请到的SSL唯一凭证,没有了这个凭证就无法对已经申请的SSL进行管理和续期了,只能重新申请一个了,所以需要特别保存好。

申请免费StartSSL登录证书过程

打开网站以后找到Sign-up按钮,果断按下去,然后出来输入你的个人资料的表单,进行提交。

所有的资料都最好使用正确的。因为注册SSL是一件很严肃的事情。还有就是如果你的IP地址是在大陆,你输入香港也是会被拒绝的。而且你的地址也是也是要详细的。 按照表单写完以后点击Continue按钮。然后你填写的邮箱会收到一个验证码。

把验证码输入到你的浏览器Code的框里,然后继续。

然后再受到验证邮箱的验证码,再输入到浏览器中。然后等待验证,他说了6个小时,其实一般一两分钟就会出结果。

通过验证的邮件的URL,输入到浏览器中进行下一步安装证书。如果弹出的窗口依然还让你输入Code,那则输入邮件下面链接的Code。 点击Continue,接下来你的浏览器开始安装私钥,相当于建立用户名密码。

然后密钥安装成功以后提示你开始安装证书。

证书安装完毕以后会祝贺你。点击完成。

然后会给你发邮件说你安装好啦,可以使用了。

服务器生成证书

服务器需要openssl 支持,并安装了nginx.

root@iZ238l3t:~# cd /etc/nginx/
root@iZ238l3t:~# mkdir ssl
root@iZ238l3t:~# cd ssl
root@iZ238l3t:~# openssl genrsa -out server.key 2048
root@iZ238l3t:~# openssl req -new -key server.key -out server.csr

查看/etc/nginx/ssl 目录下将会生成两个文件(server.key和server.csr

安装提示输入按在startssl中填写的一样就可以了。
先复制server.csr文件夹中的内容,会在接下来过程中需要。

Startssl 申请免费一年证书 验证域名

在控制面板中Validations Wizard的选项卡中选择Domain Name Validation,然后输入你的域名。(这个验证期30内有效)


接下来他会提示让你选择以下几个邮箱中的任意一个来发送验证码,其中我选择的邮箱是他根据Whois查到的管理邮箱。如果你不想使用管理员邮箱你可以建立一个他提示的邮箱。

然后把收到的验证码再输入到Code框中,域名验证完成。

申请免费一年域名证书

接下来申请域名SSL证书。点击Certificates Wizard ,选择下拉菜单中的Web Server

然后进入下一步他会问你验证方式神马的,我们都已经在VPS上设置过了,所以这里直接跳过。

然后在下面的网页中输入刚才server.csr中拷贝出来的一串字符。

然后提示你证书信息收集好了,点击继续。


系统提示你必须要选择一个二级域名来进行,大家如果申请根域名就输入www好了。


提示成功,返回一个让你等待的网页。接下来就是等待官方进行审核验证,验证后会发送成功或失败的邮件到你的填写的邮箱中。

导出证书

打开StartSSL控制面板,选择导出证书。

将代码拷贝出来。保存成.crt格式。

nginx配置ssl访问
# HTTPS server
#
server {
    listen       443 ssl;
    server_name  pass.test.com;
    ssl_certificate      /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key  /etc/nginx/ssl/server.key;

    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout  5m;

    ssl_ciphers  "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !EXPORT !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
    ssl_prefer_server_ciphers   on;
        
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    location / {
        root   /mnt/web/ssl;
        index  index.html index.htm;
    }
}                

重启nginx

service nginx restart
访问

访问域名显示工作正常。


参考:
How to Install Nginx and a StartSSL Certificate on Debian 7 (Wheezy)
https://www.linode.com/docs/websites/nginx/how-to-install-nginx-and-a-startssl-certificate-on-debian-7-wheezy
Nginx上配置Startssl 免费SSL
http://blog.nicky1605.com/the-free-ssl-configuration-startssl-on-nginx.html

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/39217.html

相关文章

  • StartSSL免费SSL证书申请和账户注册完整过程

    摘要:及时发现被第三方篡改的传输内容。保证数据到达用户期望的目的地。对计算能力的消耗很严重,完全握手时,的处理能力会降低至的甚至以下。这个阶段的性能消耗占整个握手性能消耗的。 HTTPS就等于HTTP加上TLS(SSL),HTTPS协议的目标主要有三个: 数据保密性。保证内容在传输过程中不会被第三方查看到。就像快递员传递包裹时都进行了封装,别人无法知道里面装了什么东西。数据完整性。及时发现被...

    AbnerMing 评论0 收藏0
  • 基础版务器部署Laravel项目

    摘要:解密服务器文件,再次进入网站,找到首页中的,输入密码,生成解密后的服务器修改配置文件,打开配置的,修改其,执行测试配置文件是否修改修改配置文件,打开配置的,加入一行使其访问端口时直接重定向到。 showImg(https://segmentfault.com/img/remote/1460000009562820?w=729&h=351); 说明 部署Laravel项目 从现在开始 ...

    shiguibiao 评论0 收藏0
  • 基础版务器部署Laravel项目

    摘要:解密服务器文件,再次进入网站,找到首页中的,输入密码,生成解密后的服务器修改配置文件,打开配置的,修改其,执行测试配置文件是否修改修改配置文件,打开配置的,加入一行使其访问端口时直接重定向到。 showImg(https://segmentfault.com/img/remote/1460000009562820?w=729&h=351); 说明 部署Laravel项目 从现在开始 ...

    microelec 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<