Nginx SSL數(shù)字證書安裝指南

第一步：證書簽章要求 (CSR) 產(chǎn)生說(shuō)明 

安裝 openssl（加密工具）

# yum install mod_ssl openssl  

產(chǎn)生證書私鑰和證書請(qǐng)求文件(CSR)

從Email地址開(kāi)始，下面的信息都不需要，請(qǐng)保留為空，直接回車即可。在完成了如上的交互信息輸入后，當(dāng)前目錄下將產(chǎn)生兩個(gè)文件：.key (公鑰) 和 .csr (私鑰)。請(qǐng)妥善保存這兩個(gè)文件，請(qǐng)不要泄露私鑰文件.

詳細(xì)介紹命令：

字段 說(shuō)明 示例

Country Name ISO國(guó)家代碼（兩位字符） CN

State or Province Name 所在省份 Guangdong

Locality Name 所在城市。請(qǐng)勿使用縮寫，例如：Saint Louis, 而非 St. Louis Shenzhen

Organization Name 公司名稱。如果您的公司或部門名稱中有 &、@ 或其他使用 shift 鍵的符號(hào)，請(qǐng)拼出該符號(hào)或在注冊(cè)時(shí)省略此字元。例如：XY & Z Corporation 會(huì)是 XYZ Corporation 或 XY and Z Corporation ABC eCommerce Limited

Organizational Unit Name 部門名稱 IT Dept.

Common Name 申請(qǐng)證書的域名 www.abc.com

Email Address 不需要輸入  

A challenge password 不需要輸入   

驗(yàn)證您的證書簽章要求

https://cryptoreport.websecurity.symantec.com/checker/ 

請(qǐng)確保  Signature algorithm: SHA256

提交CSR 給商服

請(qǐng)保管好key私鑰文件，提交CSR等待證書簽發(fā) .

第二步：安裝服務(wù)器證書

證書是審核完畢后您將會(huì)收到 ”服務(wù)器證書代碼”。中級(jí)CA證書代碼可透過(guò)服務(wù)商網(wǎng)頁(yè)下載。為保障保障服務(wù)器證書在客戶端的兼容性，服務(wù)器證書代碼 與 中級(jí)CA證書代碼 需要合并，再安裝服務(wù)器。舉例：服務(wù)器證書代碼 檔名為domain.crt 、中級(jí)CA證書代碼檔名為ca_intermediate.crt

 

domain.crt

 

 

ca_intermediate.crt

 

合并domain.crt 、ca_intermediate.crt 成上下段。域名證書在上，中級(jí)證書在下，中間不空行。

存為domain.crt

附錄：如何辨識(shí)中級(jí)證書

 

每張證書都會(huì)顯示發(fā)行者，如下：

 

 

 

以上例子有 Symantec Class 3 EV SSL CA – G3, GeoTrust SSL CA – G3, RapidSSL SHA256 – CA。這就是各個(gè)證書對(duì)應(yīng)的中級(jí)證書。

 

 

 

所謂 “證書安全鏈” 就是結(jié)合秘鑰，域名證書，和中級(jí)證書，串連起來(lái)的加密鏈，確保加密數(shù)據(jù)的安全。

 

1、  修改nginx.conf文件

Nginx的參數(shù)配置都在nginx.conf文件中，SSL配置也是如此，下面就是配置舉例：

 

http {

  server {

    listen                       443;

    ssl                          on;

    ssl_certificate              /etc/nginx/certs/domain.crt;

    ssl_certificate_key          /etc/nginx/certs/server.key;

    ssl_verify_depth             1;

    keepalive_timeout            70;

  }

}  

 

配置參數(shù)說(shuō)明如下：

在Nginx下的證書備份是非常簡(jiǎn)單的，打開(kāi)nginx.conf文件，找到ssl_certificate和ssl_certificate_key指定的2個(gè)文件，通常是.cer(.crt)和.key文件，將這兩個(gè)文件復(fù)制到備份媒質(zhì)上即可。

listen 443:SSL協(xié)議監(jiān)聽(tīng)的端口，SSL協(xié)議缺省使用443端口。

server_name:指定SSL網(wǎng)站主機(jī)名。

ssl on:SSL功能打開(kāi)，采用SSL通信協(xié)議。

ssl_certificate：證書文件，server.crt

ssl_certificate_key:私鑰文件，server. key

ssl_verify_client on:        要求SSL客戶證書認(rèn)證。

ssl on:SSL            功能打開(kāi)，采用SSL通信協(xié)議。

ssl_verify_depth 1：  SSL客戶證書認(rèn)證鏈長(zhǎng)度。 

 

 

2、  重新啟動(dòng)nginx

/etc/init.d/nginx restart  第三步：設(shè)置OCSP裝訂

 

OCSP (Online Certificate Status Protocol，在線證書狀態(tài)協(xié)議) 是維護(hù)服務(wù)器和其它網(wǎng)絡(luò)資源安全性的兩種普遍模式之一。OCSP裝訂（英語(yǔ)：OCSP Stapling），是一個(gè)TLS證書狀態(tài)查詢擴(kuò)展，作為在線證書狀態(tài)協(xié)議的代替方法對(duì)X.509證書狀態(tài)進(jìn)行查詢。服務(wù)器在TLS握手時(shí)發(fā)送事先緩存的OCSP響應(yīng)，用戶只需驗(yàn)證該響應(yīng)的有效性而不用再向數(shù)字證書認(rèn)證機(jī)構(gòu)（CA）發(fā)送請(qǐng)求。

 

OCSP裝訂需求NGINX 1.3.7 版本或以上。

檢測(cè)Nginx版本

# nginx -v

 

3.1 設(shè)定

1. 配置OCSP裝訂指示，在nginx.conf 加入：

ssl_stapling on;

ssl_stapling_verify on;

 

2. 配置OCSP裝訂轉(zhuǎn)換機(jī) （非強(qiáng)制）

resolver 8.8.8.8 8.8.4.4 valid=300s;

resolver_timeout 5s;

 

3. 配置ssl_trust certificate 指示

為了通過(guò)OCSP裝訂審核，終端服務(wù)器需要先配置根證書和中級(jí)證書，指令如下：

 ssl_trusted_certificate /etc/ssl/CA.crt

以上的 CA.crt 范例內(nèi)容包含所關(guān)聯(lián)根證書和中級(jí)證書。完整范例如下：

server {

    listen 443 ssl;

    server_name  serverhostname;

    ssl_certificate /etc/ssl/SSL_Cert.crt;

    ssl_certificate_key /etc/ssl/cert_key.key;

    ssl_trusted_certificate /etc/ssl/CA.crt

    ssl_stapling on;

    ssl_stapling_verify on;

    resolver 8.8.8.8 8.8.4.4 valid=300s;

    resolver_timeout 5s;

}

注意：若在服務(wù)器配置OCSP裝訂，終端服務(wù)器的OCSP請(qǐng)求必須默認(rèn)允許連接到賽門鐵克OCSP服務(wù)器。若您的服務(wù)器是安裝在防火墻后端，則必須創(chuàng)建防火墻策略外接鏈接允許賽門鐵克OCSP。

 

 

使用Openssl工具驗(yàn)證終端服務(wù)器ssl證書與賽門鐵克OCSP鏈接，請(qǐng)參考以下文檔：

https://knowledge.symantec.com/support/mpki-for-ssl-support/index?page=content&actp=CROSSLINK&id=HOWTO111088 

 

保存nginx.conf檔并重啟 Nginx

/etc/init.d/nginx restart  

3.2 驗(yàn)證OCSP裝訂

只有 openssl 工具版本 0.9.8k或以上才能驗(yàn)證OCSP裝訂。

# openssl s_client -connect yourdomain.com:443 -tls1 -tlsextdebug -status

范例顯示結(jié)果：

OCSP response:

======================================

OCSP Response Data:

OCSP Response Status: successful (0x0)

若顯示以上結(jié)果說(shuō)明OCSP裝訂已經(jīng)配置成功，不成功則顯示：

OCSP response:

======================================

OCSP response: no response sent

 

另一個(gè)驗(yàn)證是透過(guò)賽門鐵克官網(wǎng)https://cryptoreport.websecurity.symantec.com/checker/ 

OCSP裝訂將顯示 "Enabled" 或 "Not Enabled"

第四步：關(guān)閉不安全的加密方式 (cipher)  

在提高網(wǎng)絡(luò)服務(wù)器的SSL證書部署優(yōu)化方面，我們通常建議系統(tǒng)管理員使用更加安全的加密套件，對(duì)于這一點(diǎn)，我們提出對(duì)常見(jiàn)的服務(wù)器支持的方案。

打開(kāi)目錄下  nginx.conf  文件在配置文件中加入（適用于nginx 1.0.6+ 和 1.1.0+）：

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

ssl_prefer_server_ciphers on;

ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;

   

第五步：設(shè)置http自動(dòng)跳轉(zhuǎn)到https

 

nginx配置SSL證書之后，配置如下：

server {

listen 80 default backlog=2048;

listen 443;

server_name domain.com;

root /var/www/html;

ssl on;

ssl_certificate /etc/nginx/certs/domain.crt;

ssl_certificate_key /etc/nginx/certs/server.key;

} http訪問(wèn)的時(shí)候，報(bào)錯(cuò)如下：

400 Bad Request

The plain HTTP request was sent to HTTPS port. Sorry for the inconvenience.

Please report this message and include the following information to us.

Thank you very much!

 

說(shuō)是http的請(qǐng)求被發(fā)送到https的端口上去了，所以才會(huì)出現(xiàn)這樣的問(wèn)題。

 

server {

listen 80 default backlog=2048;

listen 443 ssl;

server_name domain.com;

root /var/www/html;

# ssl on;

ssl_certificate /etc/nginx/certs/domain.crt;

ssl_certificate_key /etc/nginx/certs/server.key;

}

  把ssl on；這行去掉，ssl寫在443端口后面。這樣http和https的鏈接都可以用，完美解決。

標(biāo)簽： ssl證書 ssl證書安全 Nginx

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。