原理图:
如果使用-des3参数,将会需要输入密码对私钥进行加密,如不需要对私钥加密请不要使用-des3选项
输入两次密码后,将会生成server.key私钥文件
运行如下命令生成证书请求文件(CSR)
openssl req -new -key server.key -out server.csr
接下来提示输入私钥密码和申请证书的详细信息
从Email地址开始,下面的信息都不需要,请保留为空,直接回车即可
需要输入的信息说明请见下表:
字段 |
说明 |
示例 |
Country Name |
ISO国家代码(两位字符) |
CN |
State or Province Name |
所在省份 |
Shanghai |
Locality Name |
所在城市 |
Shanghai |
Organization Name |
公司名称 |
GlobalSign China Co., Ltd. |
Organizational Unit Name |
部门名称 |
IT Dept. |
Common Name |
申请证书的域名 |
Cn.globalsign.com |
Email Address |
不需要输入 |
|
A challenge password |
不需要输入 |
server {
listen 443;
server_name www.domain.com;
ssl on;
ssl_certificate /etc/ssl/server.cer; //公钥文件(Globalsign颁发的证书)
ssl_certificate_key /etc/ssl/server.key; //私钥文件
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; ssl_prefer_server_ciphers on;
location / { root html; index index.html index.htm; }
}
按照以上的步骤配置完成后,重新启动Nginx(如果有设置server.key私钥密码,这时会提示输入)后就可以使用https://www.domain.com来访问了