使用腾讯云免费dv证书配置nginx https访问

发表于 | 分类于

公司测试环境的系统,原来都是http协议的,现在要全部使用https,所以就去弄ssl证书,然后去重新配置了下nginx. ssl的证书主要分为三种:
域名型SSL证书(DVSSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站;
企业型SSL证书(OVSSL):信任等级强,须要验证企业的身份,审核严格,安全性更高;
增强型SSL证书(EVSSL):信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最高,同时可以激活绿色网址栏。
由于我们只是个测试环境,没有太大安全要求,便选择了最简便的dv证书,最开始想使用startsll,但是配置流程比较复杂,还需要一个域名所有者的邮箱用于通讯,就放弃了。后来老大说腾讯云的比较方便,便去试了试,果然很良心,个人用户只要注册一下,便可以使用自己的用户给自己维护的域名做dv证书了。 申请地址.
基本申请流程如下:

1.在申请页面输入要做签名认证的域名,提交后腾讯会给出一段用于验证域名所有者的随机字符串
2.到域名的管理后台(我们这边使用的是dnspod),为该域名增加一条type为TXT等解析记录
3.做完TXT解析记录等腾讯云验证通过后,腾讯云会往你的腾讯云用户发一条验证通过等消息,里面是一个链接,点击可以下载整个证书等文件包。(包括IIS/apache/nginx)
4.在自己的nginx下做一个https的配置,网站的配置推荐写在/etc/nginx/sites-enabled文件夹下,如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
server
{
        listen 443;
        server_name stcms.local.camp;      #对应的主机域名
        ssl on;
        ssl_certificate cert/1_stcms.local.camp_bundle.crt;  #腾讯云给出的证书
        ssl_certificate_key cert/2_stcms.local.camp.key;   #私钥
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
        ssl_prefer_server_ciphers on;
        location / {
            proxy_pass http://127.0.0.1:8081;     #实际的程序监听地址
            proxy_set_header Host $host;
            proxy_set_header X-Real-Ip $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

5.sudo nginx -t 验证配置是否正确 /sudo nginx -s reload 热更新nginx配置。

注:
腾讯云域名形证书申请操作文档
阿里云关于csr文件生成操作文档