獲取證書

以www.example.com域名為例

選擇環(huán)境為“Nignx/Tengine”下載獲得SSL證書文件 www.example.com.crt 和私鑰文件 www.example.com.key。

www.example.com.crt 文件包括兩段證書代碼

-----BEGIN CERTIFICATE----- 到 -----END CERTIFICATE-----

www.example.com.key 文件包括一段私鑰代碼

-----BEGIN RSA PRIVATE KEY----- 到 -----END RSA PRIVATE KEY-----

證書安裝

將域名 www.example.com 的證書文件 www.example.com.crt 、私鑰文件 www.example.com.key 保存到同一個(gè)目錄，例如 nginx[安裝目錄]/conf 目錄下。 更新 nginx[安裝目錄] 根目錄下 conf/nginx.conf 文件如下：

server {
listen 443;
server_name www.example.com; #填寫綁定證書的域名
ssl on;
ssl_certificate www.example.com.crt;
ssl_certificate_key www.example.com.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個(gè)協(xié)議配置
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個(gè)套件配置
ssl_prefer_server_ciphers on;
location / {
root html; #站點(diǎn)目錄
index index.html index.htm;
}
}

配置完成后，先用 nginx[安裝目錄]/nginx –t 來測(cè)試下配置是否有誤，正確無誤的話，重啟nginx。就可以使 https://www.example.com 來訪問了。

使用全站加密，http自動(dòng)跳轉(zhuǎn)https（可選）

對(duì)于用戶不知道網(wǎng)站可以進(jìn)行https訪問的情況下，讓服務(wù)器自動(dòng)把http的請(qǐng)求重定向到https。 在服務(wù)器這邊的話配置的話，可以在頁面里加js腳本，也可以在后端程序里寫重定向，當(dāng)然也可以在web服務(wù)器來實(shí)現(xiàn)跳轉(zhuǎn)。Nginx是支持rewrite的（只要在編譯的時(shí)候沒有去掉pcre） 在http的server里增加rewrite ^(.*) https://$host$1 permanent; 這樣就可以實(shí)現(xiàn)80進(jìn)來的請(qǐng)求，重定向?yàn)閔ttps了。