ssl证书之nginx配置笔记

/ 1评 / 1

博客换ssl证书了,原来的 alphassl 是淘宝买的垃圾货,手机浏览器没识别。所以花了20多大洋重新买了一个ssl证书。ssl证书广告就不帮打了,服务器环境是用的 https://oneinstack.com/ 一键环境,这个广告必须打,都用了2年了。oneinstack 新建站点时可以选择配置ssl,省去我们自行配置的麻烦。不过现在一键环境基本都支持吧,自己配置也很简单,这里就不提了。

有些同学看到别人博客有ssl,看起来比较有逼格自己也想去整一个,结果发现ssl证书都老贵了。。找了好久终于买到了便宜的证书,然后发现很多浏览器都不认,这就日狗了。买到了ssl证书其实不是直接传到服务器就能使用的,这样有些浏览器是不识别的,比如火狐浏览器。

ssl证书申请扫盲

申请ssl证书前,我们需要提供我们自己的一些信息生成的CSR文件,其实就是一个包含了申请者组织、名称等一系列信息的请求文件。在生成CSR文件时,我们也顺便生成了对应的KEY私钥,私钥很重要一定要保存好。

提交申请通过后,会收到类似下图的文件:

QQ20160812-0@2x

依次是根证书、站点证书、中间证书和品牌证书,如果需要让更多浏览器识别我们的ssl证书,我们在配置前需要对证书进行串联。

终端cd到证书目录,对站点证书品牌证书中间证书进行串联,并生成最终需要的证书,命名可以随意,后缀 .crt 。

cat blog_6ag_cn.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > blog.6ag.cn.crt

然后对根证书中间证书进行串联,生成 .pem 证书文件。

cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt > blog.6ag.cn.pem

然后将秘钥和串联后生成的2个证书文件上传到服务器自己随意指定的目录,最后配置到nginx配置文件中,并重启nginx即可生效。nginx配置文件参考:

server {
listen 443 ssl http2;
ssl_certificate /usr/local/nginx/conf/ssl/blog.6ag.cn.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/blog.6ag.cn.key;
ssl_trusted_certificate /usr/local/nginx/conf/ssl/blog.6ag.cn.pem;
......
}

打开浏览器,会发现已经OK了,测试了Safari、Chrome、Firefox、QQ浏览器、UC浏览器、360等浏览器,都识别通过。

QQ20160812-1@2x

  1. […] 这个工作当然是交给后端人员去完成,可以参考另一篇 ssl 证书配置笔记:https://blog.6ag.cn/1622.html 。 […]

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注