nginx配置免費ssl證書支持https安全訪問

1、自行頒發不受瀏覽器信任的SSL證書：

HTTPS的SSL證書可以自行頒發，Linux下的頒發步驟如下：

openssl genrsa -des3 -out www.aaa.com.key 1024
openssl req -new -key www.aaa.com.key -out www.aaa.com.csr
openssl rsa -in www.aaa.com.key -out www.aaa.com_nopass.key

Nginx.conf的SSL證書配置，使用www.aaa.com_nopass.key，在啟動Nginx是無需輸入SSL證書密碼，而使用www.aaa.com.key則需要輸入密碼：

server
{
   server_name sms.www.aaa.com;
   listen  443;
   index index.html index.htm index.php;
   root  /data0/htdocs/www.aaa.com;
   ssl on;
   ssl_certificate www.aaa.com.crt;
   ssl_certificate_key www.aaa.com_nopass.key;
   ......
}

自行頒發的SSL證書雖然能夠實現加密傳輸功能，但得不到瀏覽器的信任，會出現以下提示：

此 網 站 的 安 全 證 書 有 問 題 。 
此 網 站 出 具 的 安 金 證 書 是 大 其 他 網 站 地 址 發 的 。 
安 金 證 書 「 司 題 可 能 顯 示 試 圖 敗 睚 您 蕺 截 獲 您 向 服 務 器 發 的 數 據 。 
建 議 關 閉 此 網 頁 ， 并 且 不 要 繼 續 瀏 覽 該 網 站 。 
   望 擊 貺 處 關 閉 該 網 頁 。 
   繼 續 瀏 覽 網 站 （ 不 薦 ） 。 
   更 多 信 息 

2、受瀏覽器信任的StartSSL免費SSL證書：

StartSSL（網址：http://www.startssl.com，公司名：StartCom）也是一家CA機構，它的根證書很久之前就被一些具有開源背景的瀏覽器支持（Firefox瀏覽器、谷歌Chrome瀏覽器、蘋果Safari瀏覽器等）。

在今年9月份，StartSSL竟然搞定了微軟：微軟在升級補丁中，更新了通過Windows根證書認證程序（Windows Root Certificate Program）的廠商清單，并首次將StartCom公司列入了該認證清單，這是微軟首次將提供免費數字驗證技術的廠商加入根證書認證列表中。現在，在Windows 7或安裝了升級補丁的Windows Vista或Windows XP操作系統中，系統會完全信任由StartCom這類免費數字認證機構認證的數字證書，從而使StartSSL也得到了IE瀏覽器的支持。

注冊成為StartSSL（http://www.startssl.com）用戶，并通過郵件驗證后，就可以申請免費的可信任的SSL證書了。步驟比較復雜，就不詳細介紹了，申請向導的主要步驟如下：

到http://www.startssl.com 申請免費的SSL證書。

下載www.aaa.com.zip文件，解壓文件，找到for Nginx.zip解壓，得到2個文件

1_www.aaa.com_bundle.crt ，2_www.aaa.com.key

改個名字www.aaa.com.crt，www.aaa.com.key傳到服務器上備用

Nginx配置SSL證書部署https支持

找到對應的server

增加

listen          443 ssl;
ssl                     on;
ssl_certificate         /usr/local/nginx/conf/ssl/www.aaa.com.crt;
ssl_certificate_key     /usr/local/nginx/conf/ssl/www.aaa.com.key;
ssl_session_timeout     5m;
ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers             ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers       on;

重新載入nginx配置

# /etc/init.d/nginx  reload

瀏覽器信任的https:// www.aaa.com 已經可用了~

轉換pfx為nginx需要的crt，key

如果已經有一個擴展名為pfx的證書，那么需要轉換使用

# openssl pkcs12 -in www.aaa.com.pfx -nocerts -nodes -out www.aaa.com.key
Enter Import Password: 輸入證書密碼
MAC verified OK
  
 
# openssl pkcs12 -in www.aaa.com.pfx -clcerts -nokeys -out www.aaa.com.crt
Enter Import Password: 輸入證書密碼
MAC verified OK

生成2個文件 www.aaa.com.key ， www.aaa.com.pfx 復制到你指定的目錄