个人博客:
blog.marschariot.com
参考:
- https://yq.aliyun.com/articles/225669?spm=5176.10695662.1996646101.searchclickresult.46f31cb9LP6jP6
- https://blog.csdn.net/deaidai/article/details/80565810
一.申请SSL证书
到
https://freessl.org申请一个免费的SSL证书
该网站专门做免费证书的申请,据说未来会添加更多的证书品牌。现在支持证书申请,证书到期提醒,证书管理等功能。截至20180614可以申请两个品牌的三款证书:Let's Encrypt, Let's EncryptV2 和 TrustAsia。区别在于:
- Let's Encrypt,支持多域名,有效期 3 个月。
- Let's EncryptV2,支持多域名和通配符,有效期 3 个月。
- TrustAsia,支持单域名(赠www),有效期 1 年。
1.填写自己的域名
2.输入邮箱
3.选择证书类型:
4.验证
因为我选择的是DNS验证,所以需要去增加一条解析记录
5.生成
你可以方便的复制,或点击下载打包成一个 zip 文件。
申请证书完成。
二.证书管理(查看)
FreeSSL.org 支持简单的后台管理,如证书下载,证书信息查看,证书到期提醒等功能。
需要简单说明下,证书下载只能够下载到证书文件,私钥是下载不了的。如果你的私钥丢掉,你可以查看你的浏览器 localstage 里是否有私钥(前提是没申请过新的证书),他们把它存放在这里。
1.申请账号
想要进入到管理证书的后台,首先需要申请一个账号,具体步骤略过.非常简单,填写信息,验证邮箱.
2、登录后台, 查看证书
三.配置 Nginx
1.把压缩包内的两个文件.pem和.key放到服务器里。
一般放在/etc/ssl/private/你的域名/
2.修改NGINX配置文件,增加以下代码
server {
listen 443 ssl;
server_name 你的域名;
ssl on;
ssl_certificate /etc/ssl/private/你的域名/XXX.pem;
ssl_certificate_key /etc/ssl/private/你的域名/XXX.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
access_log /var/log/nginx/ghost.log;
error_log /var/log/nginx/ghost_error.log;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header HOST $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://127.0.0.1:2368;
proxy_redirect off;
}
} 3.重启NGINX