Nginx服务器配置StartSSL的HTTPS证书 - Nginx - 服务器之家

服务器之家

专注于服务器技术!
当前位置:首页 > Web服务器 > Nginx

Nginx服务器配置StartSSL的HTTPS证书

发布时间:2014-02-17 来源:服务器之家

所谓折腾嘛,本来个小破站,安全不安全的也没什么意思。。。本着折腾原则,申请了一下。

申请根据页面提示,不算难,就是有点麻烦。

大概流程是:
1.注册用户,需要填写你的姓名, 住址,邮箱等信息。住址越详细越好,邮箱一定是好用的。
我注册时因为地址写的不详细,StartSSL给我发了两次邮件询问详细住址。直到我写到几号楼,几单元几室才满意。
但是对方动作很快,我提交后马上给我邮件确认住址,我提供了详细住址后马上将激活链接发给了我。

2.注册完账户后要认证你的域名,一般选择邮件认证。同样会发一个验证邮件。

3.然后就可以做证书了。

注册过程最好用Firefox。

做证书的步骤:
1.生成私钥。 此时必须填写一个足够长的密码,然后会返回一个生成好的私钥。
2.选择域名,选择你刚才添加的那个根域名。
3.填写要做证书的二级域名
4.生成证书,将证书拷贝保存为.crt文件。
5.返回Tool Box,选择Decrypt Private Key,将刚才生成的私钥解密。填写刚才生成的私钥和密码,会得到一个解密的私钥,保存为.key文件。如果不解密的话,每次启动Nginx都要输入密码。。。
6.将crt文件和key文件上传到VPS。我上传到的目录和vhost同级,大家可根据自己的喜好。
7.为证书附加StartSSL的根域。我没测试不附加的话会有什么后果,根据网上教程说,不附加的话会有部分浏览器不认可,附加呗。

wget http://cert.startssl.com/certs/ca.pem
cat ca.pem >> xxxx.crt

大部分情况下,此时证书仍不可用,原因是附加时造成了一处错误。。
用文本编辑器打开附加操作后的crt文件,找到

-----END CERTIFICATE----------BEGIN CERTIFICATE-----

在中间断开他,成为

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

然后配置Nginx,关键指令:

        ssl                     on;
        ssl_certificate         /usr/local/nginx/conf/cert/xxxx.crt;
        ssl_certificate_key     /usr/local/nginx/conf/cert/xxxx.key;
        ssl_session_timeout     15m;
        ssl_protocols           SSLv2 SSLv3 TLSv1;
        ssl_ciphers             ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
        ssl_prefer_server_ciphers       on;

配置后发现,如果对同一个IP绑定多个域名的情况,使用不同的SSL证书会造成混乱。
在这找到了答案:http://xfeng.me/nginx-enable-tls-sni-support/
Nginx需要开启TLS SNI support

下面拷贝一下主要步骤

首先停止Nginx。。。

1.确认是否开启TLS SNI support

/usr/local/nginx/sbin/nginx -V

如果为TLS SNI support disable,则没有开启,需要重新编译Nginx。
正好我使用的也是LNMP0.8,照着文章说的做就可以了。

2.下载openssl包
定位到/root/lnmp0.8/,也就是安装LNMP时解压出来的位置

wget http://www.openssl.org/source/openssl-1.0.0d.tar.gz
tar zxvf openssl-1.0.0d.tar.gz

3.编译。进入nginx文件夹,根据版本不同可能文件夹名不同

./configure --user=www --group=www --prefix=/usr/local/nginx 
        --with-http_stub_status_module 
        --with-http_ssl_module 
        --with-http_gzip_static_module 
        --with-ipv6 
        --with-openssl=../openssl-1.0.0d/
make
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old
cp objs/nginx /usr/local/nginx/sbin/nginx
/usr/local/nginx/sbin/nginx -t
make upgrade

4.最后再查看一下,确认是否已开启

重新开启Nginx即可,不必修改配置即可允许多个域名使用各自的证书文件。