本文以阿里云为例说明。
一、阿里云http迁移到https需要申请ssl证书
二、阿里云数字证书管理服务支持购买DV证书、OV证书和EV证书三种类型的SSL证书。不同类型证书的安全性、支持的证书品牌和适用的网站类型不同,具体如下表所示。
DV证书:域名验证型证书,证书审核方式为通过验证域名所有权即可签发证书。此类型证书适合个人和小微企业申请,价格较低,申请快捷,但是证书中无法显示企业信息,安全性较差。如果是部署在web网站上,浏览器中显示锁型标志。能起到加密传输的作用,但无法向用户证明网站的真实身份。
OV证书:企业验证型证书,证书审核方式为通过验证域名所有权和申请企业的真实身份信息才能签发证书。目前OV类型证书是全球运用最广,兼容性最好的证书类型。此证书类型适合中型企业和互联网业务申请。如果是部署在web网站上,浏览器中显示锁型标志,并能通过点击查看到企业相关信息。支持ECC高安全强度加密算法,加密数据更加安全,加密性能更高。
EV证书:增强验证型证书,证书审核级别为所有类型最严格验证方式,在OV类型的验证基础上额外验证其他企业的相关信息,比如银行开户许可证书。EV类型证书多使用于银行、金融、证券、支付等高安全标准行业。如果是部署在web网站上,其在地址栏可以显示独特的EV绿色标识地址栏,最大程度的标识出网站的可信级别。支持ECC高安全强度加密算法,加密数据更加安全,加密性能更高。
三、阿里云的产品规格
按域名类型分为单域名、多域名、通配符,规格如下图
四、在Nginx服务器上安装证书
前提条件
已经通过数字证书管理服务控制台签发证书。
已准备好远程登录工具(例如PuTTY、Xshell),用于登录您的Nginx或Tengine服务器。
1、使用远程登录工具,登录Nginx服务器。
2、执行以下命令,在Nginx安装目录(默认为/data/nginx/conf)下创建一个用于存放证书的目录。
cd /data/nginx/conf
mkdir cert
给目录加权限
chmod 777 cert
3、使用远程登录工具附带的本地文件上传功能,将证书文件和私钥文件上传到Nginx服务器的证书目录
4、编辑Nginx配置文件nginx.conf,修改与证书相关的配置。
vi /data/nginx/conf/nginx.conf
按i进入编辑模式
#以下属性中,以ssl开头的属性表示与证书配置有关。
server {
#配置HTTPS的默认访问端口为443。
#如果未在此处配置HTTPS的默认访问端口,可能会造成Nginx无法启动。
#如果您使用Nginx 1.15.0及以上版本,请使用listen 443 ssl代替listen 443和ssl on。
listen 443 ssl;
#填写证书绑定的域名
server_name ;
root html;
index index.html index.htm;
#填写证书文件名称
ssl_certificate cert/.pem;
#填写证书私钥文件名称
ssl_certificate_key cert/.key;
ssl_session_timeout 5m;
#表示使用的加密套件的类型
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
#表示使用的TLS协议的类型,您需要自行评估是否配置TLSv1.1协议。
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
location / {
#Web网站程序存放目录
root html;
index index.html index.htm;
}
} 修改完成后,按Esc键、输入:wq!并按Enter键,保存修改后的配置文件并退出编辑模式。
重启nginx
./nginx -s reload
配置试例
server {
#listen 80;
listen 443 ssl;
server_name cloud.dymyth.cn;
client_max_body_size 100M;
access_log logs/wise-cloud.access.log;
error_log logs/wise-cloud.error.log;
#填写证书文件名称
ssl_certificate cert/9584337_cloud.iluhao.cn.pem;
#填写证书私钥文件名称
ssl_certificate_key cert/9584337_cloud.iluhao.cn.key;
ssl_session_timeout 5m;
#表示使用的加密套件的类型
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
#表示使用的TLS协议的类型,您需要自行评估是否配置TLSv1.1协议。
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
## send request back to apache ##
location /api {
proxy_pass http://yunsaas;
#Proxy Settings
include commonProxy.conf;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location /oss {
proxy_pass http://ossserver;
#Proxy Settings
include commonProxy.conf;
}
location /ossfiles {
if ($request_method = 'OPTIONS') {
add_header 'Access-Control-Allow-Origin' '*';
#add_header 'Access-Control-Allow-Credentials' 'true';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
#
# 自定义标题和标题各种浏览器*应该*可以,但不是
#
add_header 'Access-Control-Allow-Headers' 'Access-Control-Allow-Origin,X-Tenant,Authorization,DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
#
#
#
add_header 'Access-Control-Max-Age' 60;
add_header 'Content-Type' 'text/plain; charset=utf-8';
add_header 'Content-Length' 0;
return 204;
}
if ($request_method = 'POST') {
add_header 'Access-Control-Allow-Origin' $http_origin;
#add_header 'Access-Control-Allow-Credentials' 'true';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'Access-Control-Allow-Origin,X-Tenant,Authorization,DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';
}
if ($request_method = 'GET') {
add_header 'Access-Control-Allow-Origin' $http_origin;
#add_header 'Access-Control-Allow-Credentials' 'true';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'Access-Control-Allow-Origin,X-Tenant,Authorization,DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';
}
root ./;
index index.html;
}
location / {
add_header Cache-Control no-cache;
add_header Pragma no-cache;
add_header Expires 0;
root 8080yun;
index index.html;
try_files $uri /index.html; #此处为单页面部署类型
}
}
server {
listen 80;
#填写证书绑定的域名
server_name cloud.iluhao.cn;
#将所有HTTP请求通过rewrite指令重定向到HTTPS。
rewrite ^(.*)$ https://$host$1;
location / {
index index.html index.htm;
}
}
