Skip to main content

申请并配置网站的SSL证书

1 申请免费证书

准备一个能访问的域名网站。然后去:

sslforfree
并根据提示把操作:

提交要申请的域名
提交邮箱和密码
下载验证文件
把验证文件上传到网站中
确认验证并下载证书下来

tip

证书的最终签发机构为: letsencrypt,如需要其它签发方式可以看看文档,特别适合自动化申请。

2 合并证书

下载后解压的证书为: ca_bundle.crt、certificate.crt，private.key, 需要把前面2个.crt合并为一个文件，就是再新建个名为itbulu.crt 文件，然后把ca_bundle.crt、certificate.crt这2个文件的文本内容剪切过去，不要留有空行。删除不要的空文件ca_bundle.crt、certificate.crt 最终就剩下itbulu.crt，private.key这2个文件。

3 配置nginx

找到要使用证书的网站的nginx配置。然后:

server {
    listen       80;
    listen  [::]:80;
    server_name  local.wuchuheng.com;

    # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    ssl_certificate /etc/nginx/certs/local.wuchuheng.com/fullchain.pem;
    ssl_certificate_key /etc/nginx/certs/local.wuchuheng.com/privkey.pem;
    root   /www/local.wuchuheng.com;

    server_name local.wuchuheng.com;
    index  index.html index.php index.htm;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4'; ssl_prefer_server_ciphers   on;
    ssl_session_cache  builtin:1000 shared:SSL:10m;
    error_page  400 /errpage/400.html;
    error_page  403 /errpage/403.html;
    error_page  404 /errpage/404.html;
    error_page  503 /errpage/503.html;
    location ~ /\.ht {
        deny  all;
    }
}

tip

以上的配置后，如果访问的是443端口的话，则手动申请下来的证书就能生效了。如果需要强制使用https的话，则需要修改80端口那边的配置，强制那边重定向到443端口来就可以了。

1 申请免费证书
2 合并证书
3 配置nginx