配置 Nginx 的 HTTPS
证书文件
| 文件名 | 作用 | 来源 | |
|---|---|---|---|
|
| 服务器的私钥,用于加密和解密数据。 | 本地生成 | |
| -----BEGIN RSA PRIVATE KEY----- MIIEowIBAAKCAQEAqp5c... -----END RSA PRIVATE KEY----- | |||
|
| 证书签名请求文件,包含公钥和申请者信息,提交给 CA 以获取证书。 | 本地生成 | |
| -----BEGIN CERTIFICATE REQUEST----- MIICtjCCAZ4CAQAwc... -----END CERTIFICATE REQUEST----- | |||
|
| CA 签发的 SSL/TLS 证书,包含公钥和 CA 的签名,用于证明服务器身份。 | -----BEGIN CERTIFICATE----- MIIHjTCCBXWgAwIBAgIQC -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIFxjCCBK6gAwIBAgIQDwa7CTBhSC... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIEfjCC... -----END CERTIFICATE----- | CA 提供 |
|
| 证书文件的另一种扩展名,功能与 | CA 提供 | |
|
| 可能包含证书、私钥或证书链的通用文件格式。 | 本地生成或 CA 提供 | |
服务器证书安装配置-示例
复制
example.com.key、example.com.pem文件到 Nginx 安装目录下的 conf 目录。
server {listen 443;server_name example.com;ssl on;# 指定私钥文件ssl_certificate_key /path/to/example.com.key;# 指定你的 SSL/TLS 证书文件(可以是 .crt 或 .pem 文件)ssl_certificate example.com.pem;ssl_session_timeout 5m;# 启用TLS1.1,TLS1.2要求 OpenSSL1.0.1及以上版本,若您的OpenSSL版本低于要求请使用 ssl_protocols TLSv1;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;# 定义支持的加密算法列表ssl_ciphers HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM;# 启用服务器优先选择加密算法ssl_prefer_server_ciphers on;
}