ssl - 正面 SSL 证书

Question

我的客户买了一个 PositiveSSL 证书，他给了我 2 个文件，crt 和 ca-bundle。

如何将这些文件安装到 ubuntu 服务器并使 https 协议(protocol)工作？

仅供引用，我正在使用 nginx。

有什么线索吗？

Answer 1

key 文件

首先:您还需要 key ，从文件名的扩展名中您丢失了该文件。

ngnix

nginx 需要链式证书，但这很容易创建:

$ cd /path/to
$ cat www.example.com.crt ca-bundle.crt > example.bundle.crt

在创建 Diffie–Hellman 参数时:

$ openssl dhparam -out dh4096.pem 4096

您需要在配置文件的适当位置添加一些语句。服务器 block 需要这样的东西:

server {
    listen       443 ssl http2;
    server_name  www.example.com ;

    ssl on;
    ssl_certificate /path/to/example.bundle.crt;
    ssl_certificate_key /path/to/example.key;

    # take care: a single add_header *will* wipe all the inherited ones!
    # HSTS (be careful, this is irreversible!) 
    # add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
}

像这样的东西可以添加到 http block 中:

http {
    #ssl parameters (certificates in the virtual servers)
    ssl_dhparam /path/to/dh4096.pem;
    ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS:!DES";
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 5m;
    ssl_prefer_server_ciphers on;
}

[这样你只需要为所有虚拟服务器维护一次这些东西，也可以将它添加到使用 ssl 的服务器 block 中]

更多信息: http://nginx.org/en/docs/http/configuring_https_servers.html

测试一下

提供免费测试，例如这个:https://www.ssllabs.com/ssltest/修复它以确保您设置的评级足够高。