接收证书
您会收到一封来自迅通诚信的邮件,证书内容附在邮件中,请在邮件的最后,找到以:“—–BEGIN CERTIFICATE—–”开头的一段文本,请将此部分的内容复制出来用Notepad存成一个纯文本文件。(注意:不要将其存成Microsoft Word 或其它字处理软件格式,并确定证书内容中不含有空行和空格,)文件名可以为server.crt或者 server.cer (crt和cer都是证书的可用扩展名是等效的)。如下所示:
加入中间证书
为了保证Nginx可以兼容所有浏览器,我们必须在服务器上安装中间证书,请到 中间证书下载工具,输入您的Server.crt,然后下载中间证书,请将中间证书保存为Chain.crt。
我们需要将中间证书Chain.crt加入到服务器证书Server.crt文件中,请将Chain.crt中的所有内容复制,并粘贴到Server.crt,顺序是: 第一段,服务器证书;第二段,中间证书,如下:
-----BEGIN CERTIFICATE----- MIIEsTCCA5mgAwIBAgIDBfoqMA0GCSqGSIb3DQEBCwUAMEcxCzAJBgNVBAYTAlVT ………Server Certificate………… T0hUGo/wiwTBUafyk1A+LlSUE+dYqzbHYV9Q4d83UIzz9vXO4wmSRgV0udjGN2GR W7oiGmI= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIEsTCCA5mgAwIBAgIDBfoqMA0GCSqGSIb3DQEBCwUAMEcxCzAJBgNVBAYTAlVT ………Chain Certificate………… T0hUGo/wiwTBUafyk1A+LlSUE+dYqzbHYV9Q4d83UIzz9vXO4wmSRgV0udjGN2GR W7oiGmI= -----END CERTIFICATE-----
下载证书
如果您没有收到邮件,您也可以直接到控制台,下载签发好的服务器证书和对应的中间证书。
请到控制台-订单查询-查看,在订单详情的最后,可以直接下载:
请下载红色框的证书文件,保存为Server.crt。这个文件已经包含了中间证书,可以直接使用。
Nginx证书配置
将包含中间证书的server_with_chain.crt和server.key上传服务器,然后修改配置文件nginx.conf,加入以下参数:
server { listen 443 ssl; server_name www.example.com; ssl_certificate server_with_chain.crt; ssl_certificate_key server.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5:!DH; ssl_prefer_server_ciphers on; ... }
安装完成
开启先进的加密套件算法
通过配置ssl_ciphers参数,指定安全的加密算法套件,支持Apple ATS的同时,也可以支持旧浏览器正常访问。
“推荐配置一”,优先选择最强的加密算法,更安全,服务器负载相对较高。
“推荐配置二”,在保证加密安全的前提下,优先选择速度更快的算法,服务器负载相对较低。
推荐配置一:
ssl_ciphers ECDHE:AES128-SHA:AES128-SHA256:AES256-SHA:AES256-SHA256:DES-CBC3-SHA:!NULL:!aNULL:!RC4:!MD5:!DH;
推荐配置二:
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:AES128-GCM-SHA256:AES128-SHA:AES128-SHA256:AES256-SHA:AES256-SHA256:DES-CBC3-SHA;
原文:https://www.myssl.cn/ssl/nginx/openssl/install.htm