• 博客访问: 447646
  • 博文数量: 110
  • 博客积分: 660
  • 博客等级: 上士
  • 技术积分: 1786
  • 用 户 组: 普通用户
  • 注册时间: 2005-08-08 11:39
文章分类

全部博文(110)

文章存档

2017年(49)

2016年(7)

2015年(3)

2014年(3)

2013年(31)

2012年(2)

2011年(1)

2006年(1)

2005年(13)

微信关注

IT168企业级官微



微信号:IT168qiye



系统架构师大会



微信号:SACC2013

订阅
热词专题

分类: 系统运维

nginx设置泛域名解析的https证书过程

备注

  • 以GlobalSign的签名证书为例说明,其他机构的证书签署过程基本一致;
  • 以goodcompany.com这个虚拟域名为例说明;

1、创建域名申请

  • 创建ssl目录放置申请文件

mkdir ssl

  • 生成证书签名申请文件
cd ssl
openssl genrsa -out goodcompany.com.key 2048   ##生成私钥
openssl req -new -key goodcompany.com.key  -out goodcompany.com.csr  ##根据私钥生成证书签名申请
  • 需要根据实际情况填入字段
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Chaoyang
Organization Name (eg, company) [Default Company Ltd]:Good Company
Organizational Unit Name (eg, section) []:DevOps
Common Name (eg, your name or your server's hostname) []:*.goodcompany.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

2、将server.csr发给GlobalSign

3、GlobalSign生成证书并发回

  • 发回的证书包括两部分

    SSL证书

    中级域名证书

  • 将证书按照ssl证书、中级证书的顺序放入文本文件goodcompany.com.pem

  • GlobalSign会通过第一次注册使用的邮箱、dns的txt记录、web服务器上特定文件来确定发回证书的邮箱

4、设置nginx重启时不需输入证书的密码

openssl rsa -in goodcompany.com.key -out goodcompany.com.key.unsecure

5、设置放置证书目录权限

  • 把步骤3、4中生成的证书放到/etc/nginx/conf.d/ssl下面
  • 如果放到其他其他目录,保证nginx用户有读取权限

6、nginx配置

server {
  listen        80;
  listen        443;
  ssl on;
  ssl_certificate     /etc/nginx/conf.d/ssl/goodcompany.com.pem;
  ssl_certificate_key /etc/nginx/conf.d/ssl/goodcompany.com.key.unsecure;
  server_name   www.goodcompany.com xyz.goodcompany.com;
  keepalive_timeout 300;
  client_max_body_size 500m;
  client_body_timeout  600s;

  access_log    /var/log/nginx/s.goluk.cn.log main;

....
} 

7、测试并启用证书

  • 测试并运行

nginx -t && nginx -s reload

  • 利用浏览器访问,确认证书是否可用,以及查看有效期

8、参考及致谢

在 nginx 启动时免输入 SSL 证书密码

openssl、x509、crt、cer、key、csr、ssl、tls 这些都是什么鬼?

Install Certificate - Nginx

阅读(9020) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~
评论热议
请登录后评论。

登录 注册