阿里云ECS服务器https配置实践

阿里云ECS服务器https配置实践

一、选择购买赛门铁克的免费 DV证书。

/?commodityCode=cas#/buy

免费证书仅支持一个域名或子域名，不支持多个或泛解析域名。

二、填写证书需要的相关资料

进入安全（云盾）->证书服务，在我的订单中，看到刚才购买的免费证书，
/?p=cas#/cas/home
1）点击右侧的“补全“，输入证书绑定的域名；
2）填写个人信息；

如果域名是在阿里云（万网）申请的，选择DNS时勾选“…自动添加一条CNAME记录…”
3）上传相关信息，推荐选择系统生成CSR，或自己生成CSR；
4）提交审核。

三、下载证书上传到服务器指定位置

1）一般只要按上面操作，做域名验证后即可下载公私钥压缩包。
2）上传至nginx安装目录下的conf，如：
/usr/local/nginx/conf/cert/2140130517202**.key
/usr/local/nginx/conf/cert/2140130517202**.pem

四、配置nginx

1）点击下载时，会进入一个nginx设置帮助页面，复制如下代码：

ssl on;
ssl_certificate cert/2140130517202**.pem;
ssl_certificate_key cert/2140130517202**.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!**4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

2）如果需要全局开启ssl，在f文件中的http{}里粘贴以上代码；
3）如果不需要全局开启，则在vhost目录中网站对应的.conf文件的server{}中粘贴以上代码；
4）监听443端口；
在server{}设置如：

listen 443;
server_;
index index.html index.htm index.php;
root  /home/wwwroot/xxx;

五、http跳转到https设置

server
{listen      80;server_name   vcstock.ju3ban;return      301 $server_name$request_uri;
}
server
{#在已有的server外加上对80端口的监听并跳转，如上
}

五、重启服务

service nginx restart