如今,網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到重視, SSL證書(shū)不僅是保障信息傳輸安全的必要條件,也是幾乎所有網(wǎng)站必須要具備的功能。 NGINX是一款流行的Web服務(wù)器軟件,它的SSL協(xié)議和證書(shū)管理有多種配置方案。本文將詳細(xì)介紹在NGINX上更換SSL證書(shū)的方法。
NGINX的SSL證書(shū)管理有以下三種類(lèi)型:
1.自簽名證書(shū):也被稱(chēng)為“私人證書(shū)”,不被任何機(jī)構(gòu)認(rèn)證,這種證書(shū)只有在個(gè)人擁有的網(wǎng)站上使用才有作用。當(dāng)訪(fǎng)問(wèn)這種網(wǎng)站時(shí),瀏覽器會(huì)提示用戶(hù)進(jìn)行安全風(fēng)險(xiǎn)提示;
2.用CA機(jī)構(gòu)頒發(fā)的單域或多域證書(shū):這種證書(shū)可用于單域或多域,每個(gè)證書(shū)在頒發(fā)時(shí)都需驗(yàn)證域名的權(quán)屬關(guān)系,保證證書(shū)的真實(shí)性。頒發(fā)機(jī)構(gòu)包括Symantec、GeoTrust、Thawte和Comodo等;
3.客戶(hù)端證書(shū):需要客戶(hù)端在訪(fǎng)問(wèn)Web站點(diǎn)時(shí)提交證書(shū),從而使Web服務(wù)器驗(yàn)證客戶(hù)端的身份。
更換SSL證書(shū)的步驟:
1.備份舊證書(shū)和密鑰
在更改SSL證書(shū)之前,必須先備份目前代碼中使用的證書(shū)和密鑰文件。
2.購(gòu)買(mǎi)新證書(shū)
可以選擇購(gòu)買(mǎi)單域或多域證書(shū),根據(jù)自己的需求選擇。
3.上傳新證書(shū)文件
將預(yù)期使用的SSL證書(shū)文件和密鑰上傳至服務(wù)器的指定目錄,比如存放在/etc/nginx/ssl目錄下(這里作為舉例,具體請(qǐng)參考服務(wù)器實(shí)際路徑),同時(shí)確認(rèn)證書(shū)和密鑰文件的擁有者是所運(yùn)行的web服務(wù)器用戶(hù)。
4.修改NGINX配置文件
用nano或自己熟悉的任何編輯器打開(kāi)nginx的配置文件,例如default.conf、ssl.conf或nginx.conf。找到監(jiān)聽(tīng)443端口的server塊,然后將這些行更新為新SSL證書(shū)的相關(guān)信息:
ssl_certificate_key /etc/nginx/ssl/domain.com.key;
ssl_certificate /etc/nginx/ssl/domain.com.crt;
注:由于問(wèn)題可能出現(xiàn)在任何文件中,如證書(shū)鏈(bundle)文件,所以建議在更改之前仔細(xì)讀取nginx配置文件。
5.重啟NGINX
執(zhí)行以下命令重啟nginx:
service nginx restart
6.確認(rèn)SSL證書(shū)已經(jīng)更換
在瀏覽器地址欄下方可以看到鎖定的圖標(biāo),如果證書(shū)有效,它會(huì)顯示“合法的”,并會(huì)顯示證書(shū)頒發(fā)機(jī)構(gòu)的信息。
NGINX實(shí)現(xiàn)SSL證書(shū)更換的過(guò)程簡(jiǎn)單易懂,只需簡(jiǎn)單地修改配置文件和重啟服務(wù)器,就可以成功更換SSL證書(shū)了。安全證書(shū)必不可少,它們確保數(shù)據(jù)傳輸安全,尤其是在網(wǎng)站、應(yīng)用、監(jiān)視器和其他關(guān)鍵技術(shù)系統(tǒng)上。
互億無(wú)線(xiàn)力求為您提供一站式SSL證書(shū)解決方案,讓您的網(wǎng)站安全和信譽(yù)毋庸置疑。我們?yōu)槟可矶ㄖ贫鄻拥腟SL證書(shū)類(lèi)型,涵蓋DV(域名驗(yàn)證)、OV(組織驗(yàn)證)以及EV(擴(kuò)展驗(yàn)證)證書(shū),滿(mǎn)足您的多樣安全需求。我們支持各類(lèi)證書(shū)類(lèi)型,包含單域名、多域名以及通配符證書(shū)。以適應(yīng)您不同的網(wǎng)站架構(gòu)。我們與全球證書(shū)品牌,包括Globalsign、DigiCert、Entrust、Baidu Trust 百度、CFCA等建立了緊密合作關(guān)系,確保您獲得高品質(zhì)的SSL證書(shū)。
提供一站式SSL證書(shū)申請(qǐng) |
|
SSL證書(shū)快速簽發(fā)服務(wù) |
|
為您呈現(xiàn)高性?xún)r(jià)比的SSL證書(shū)價(jià)格方案 |
|
為您提供一站式的SSL證書(shū)服務(wù) |
問(wèn):SSL證書(shū)有什么作用?
答:1、確認(rèn)網(wǎng)站的真實(shí)性訪(fǎng)問(wèn)地址由http銘文訪(fǎng)問(wèn)改為https加密訪(fǎng)問(wèn),避免了網(wǎng)上有許多假冒、釣魚(yú)網(wǎng)站;用戶(hù)如何判斷網(wǎng)站的真實(shí)性?SSL證書(shū)將幫助您確保網(wǎng)站的真實(shí)身份,并確保傳輸數(shù)據(jù)不被泄露或篡改。2、使用高級(jí)EVSL證書(shū)https地址欄顯示綠色圖標(biāo),狀態(tài)欄可直觀顯示企業(yè)單位名稱(chēng)和發(fā)行機(jī)構(gòu)。3、提高搜索排名使用Https加密的網(wǎng)站在搜索結(jié)果中的排名將高于Http。同時(shí),國(guó)內(nèi)搜索引擎廠(chǎng)商也在加強(qiáng)對(duì)Https的重視,Https可以輔助站點(diǎn)的SEO優(yōu)化。
問(wèn):SSL證書(shū)品牌有哪些?
答:SSL證書(shū)的品牌并不多,因?yàn)橐紤]被世界瀏覽器和設(shè)備信任的機(jī)構(gòu),盡可能覆蓋每個(gè)版本99%的兼容性,世界上只有:GlobalSign、DigiCert、Entrust,補(bǔ)充交叉鏈證書(shū)以實(shí)現(xiàn)信任:Sectigo、Certum。所以可以看出,其實(shí)可信的機(jī)構(gòu)真的很少。標(biāo)準(zhǔn)證書(shū)的一般機(jī)構(gòu)如下:GlobalSign、Digicert是主要原因。主要原因是兩個(gè)品牌都符合中國(guó)人的申請(qǐng)要求,認(rèn)證沒(méi)有特別繁瑣,溝通也比較容易。Sectigo、與SSL證書(shū)中補(bǔ)充的交叉鏈證書(shū)相比,Certum也被很多人使用。除了價(jià)格低,種類(lèi)多,還可以申請(qǐng)OV和EV證書(shū)。
問(wèn):如何創(chuàng)建自簽名SSL證書(shū)?
答:自簽名SSL證書(shū)是指用戶(hù)使用工具生成,而不是值得信賴(lài)的CA機(jī)構(gòu)頒發(fā)的證書(shū),通常只用于測(cè)試。第一步:生成私鑰使用OpenSSL工具生成RSA私鑰。$opensslgenrsa-des3-outserver.key2048注:生成rsa私鑰,des3算法,2048位強(qiáng)度,server.key是密鑰文件名。第二步:生成CSR(證書(shū)簽名請(qǐng)求)生成私鑰后,可以創(chuàng)建csr文件。您可以使用OpenSSL工具實(shí)現(xiàn)自簽名,操作以下命令并填寫(xiě)相關(guān)信息。$opensslreq-new-keyserver.key-outserver.csr在命令行中,根據(jù)提示信息輸入國(guó)家、地區(qū)、城市、組織、組織單位、Comonname和Email。其中,Commonname,您可以寫(xiě)下您的名稱(chēng)或域名,如果您想支持https,Commoname應(yīng)該與域名保持一致,否則會(huì)引起瀏覽器警告。第三步:生成自簽證證書(shū)$openslx509-req-days365-inserver.csr-signkeyserver.key-outserver.crt這樣,您就可以創(chuàng)建一個(gè)簡(jiǎn)單的自簽名SSL證書(shū)。需要注意的是,該證書(shū)不是由值得信賴(lài)的CA機(jī)構(gòu)頒發(fā)的。當(dāng)我們通過(guò)瀏覽器訪(fǎng)問(wèn)時(shí),我們會(huì)提醒證書(shū)的發(fā)行人未知,存在很大的安全風(fēng)險(xiǎn),因此不建議使用。
證書(shū)等級(jí) | DV(域名級(jí))SSL證書(shū) | OV(企業(yè)級(jí))SSL證書(shū) |
適用場(chǎng)景 | 個(gè)人網(wǎng)站、企業(yè)測(cè)試 | 中小企業(yè)的網(wǎng)站、App、小程序等 |
驗(yàn)證級(jí)別 | 驗(yàn)證域名所有權(quán) | 驗(yàn)證企業(yè)/組織真實(shí)性和域名所有權(quán) |
HTTPS數(shù)據(jù)加密 | ||
瀏覽器掛鎖 | ||
搜索排名提升 | ||
單域名證書(shū) |
¥ 150 /年 ¥ 400 /3年
|
¥ 720 /年 ¥ 2000 /3年
|
通配符證書(shū) |
¥ 550 /年 ¥ 1500 /3年
|
¥ 1500 /年 ¥ 4200 /3年
|
驗(yàn)證碼已發(fā)送到您的手機(jī),請(qǐng)查收!
輸入驗(yàn)證碼后,點(diǎn)擊“開(kāi)通體驗(yàn)賬戶(hù)”按鈕可立即開(kāi)通體驗(yàn)賬戶(hù)。