---

一、什么是ssl证书

SSL证书是数字证书的一种，由权威数字证书机构（CA）验证网站身份后颁发，可实现浏览器和网站服务器数据传输加密。网站安装SSL证书后会在浏览器显示安全锁标志，数据传输协议从http（传统协议） 升级为 https（加密协议）。

HTTPS并非新协议，相比于HTTP只是多了个S，表示Secure安全

安全的原理是基于HTTP+TCL/SSL协议组合实现的，所以HTTP和HTTPS的主要区别本质在于TCL/SSL安全协议上的区别

HTTPS是一种安全的协议，通过密钥交换算法 - 签名算法 - 对称加密算法 - 摘要算法确保安全

HTTPS默认443端口

二、证书的作用

1.浏览器绿色安全标志

各大主流浏览器的重视，对没有安装SSL证书的网站提示“不安全”，安装了SSL证书的网站浏览器会显示绿色安全标志，表示连接安全。

2.网站数据加密传输

安装SSL证书之后，网站会从升级为 https（加密协议）。可加密保护网站的所有数据信息，保护访客注册登录，在线交易等信息数据，这对于电商、金融、政府、企业等网站至关重要。

小程序、抖音等平台对于合作的网址有相关的要求，即需要使用 https 链接。

3.安全标志获得访客信任

OV SSL证书可验证申请组织的真实身份，可在证书详情里查看申请企业。高级EV SSL证书还可在浏览器地址栏显示绿色企业名称，可加深访客对网站的信任，浏览使用更加放心。

4.强大的加密等级保障

SSL证书之所以能够进行数据加密，和它的2048位加密技术是分不开的，时刻保护这敏感数据不被窃取、泄露。 满足“等保”等相关政策对网站的安全要求。

OV 和 EV 证书除了安全加密之外，其实还有对网站管理者身份的验证，这个验证会体现在 SSL证书的字段中。而 EV 级别的 SSL证书甚至可以在某些版本的浏览器中直接显示单位名称。这一定程度帮助网站运营者确定了其“官方身份”，有助于帮助其用户识别真假网站。

5.SSL证书帮助网站保护了用户和网站之间的任何数据的安全

最重要的一点，SSL证书帮助网站保护了用户和网站之间的任何数据的安全。如果没有SSL证书，用户在网站上的任何信息交互都将处于明文传输的状态，这其实上非常可怕的。也正因为如此，作为展示网站的浏览器，在推动SSL证书的普及上非常积极，甚至对没有SSL证书的网站在打开的时候进行了安全拦截

三、SSL证书的类别

1.按照验证方式

SSL证书可以分为 DV、OV、EV 三种，这三种SSL证书的验证严格程度依次递增。

DV SSL证书，验证简单，几分钟内即可签发，适合个人站点、小微企业、api 加密等，但这种证书只能实现 https 最基本的加密功能；

OV SSL证书，验证域名和网站背后的运营者单位，除了加强了网站的安全性之外，还让网站运营者身份得到了确认；

EV SSL证书，这种证书在 OV 的基础上验证更为全面，因此某些浏览器版本在地址栏上直接显示单位名称，因为这种显示形式，很多金融类、企业官网等网站都在使用这种类型的SSL证书。

2.按照一张SSL证书保护的域名数

SSL证书可以分为单域名、多域名、通配符类型。但随着产品的不断优化，在颁发机构，大多数SSL证书都实现 Flex 模式，即在一张证书里面，您可以随意添加多个域名、通配符域名、甚至 IP 地址。

3.按照 SSL证书的签发机构分类

可以分国产和进口。实事求是的说，咱们国产SSL证书的兼容性跟进口的SSL证书还是有差距，但这种差距正在逐渐缩小。从沃通CA的销售情况来看，近几年来申请国产的SSL证书也在逐渐增加，但申请国外品牌SSL证书的单位数量还是占有绝大部分。

四、SSL证书的使用成本

1、免费SSL证书
这类证书建议适合一些流量不大的个人博客之类的站点。近几年发生过多起免费SSL证书被大规模吊销事件，相关资讯可以网上搜索一下，除此之外，免费的SSL证书更不会与您签合同，以及提供及时的技术支持，您还需要考虑SSL证书的响应速度、兼容性等。因此，如果您是单位正式的在线业务，谨慎使用免费SSL证书，毕竟出现问题后背锅是件很难受的事。

2、基础版的 DV SSL证书
这类证书的成本区间在每年 100-1000 左右，这种成本相比单位其他的开支，其实不值一提。这种证书适用于一些后台的 API 之类的安全连接。

3、企业版 OV SSL证书
证书根据品牌的不同，大概的成本在每年 1000 以上。

4、扩展验证的 EV SSL证书
这类证书根据品牌的不同，大概的成本在每年 2000 以上。

五、HTTPS注意事项

• https仅支持二级域名
• https不支持续费，证书到期重新申请替换
• https显示绿色，说明整个网站都是https的
• https显示黄色，网站代码中包含https不安全连接
• https显示红色，证书不认或过期

六、获取证书和密钥

1.关闭防火墙，关闭核心防护

systemctl stop firewalld
systemctl disable firewalld
setenforce 0
1
2
3

2.安装openssl

yum -y install openssl
1

3.创建一个存放证书的文件并到目录下

mkdir -p /etc/nginx/ssl_key
cd /etc/nginx/ssl_key/
1
2

4.证书颁发机构，创建私钥（本机当CA）

openssl genrsa -idea -out server.key 2048
1

5.生成证书，去掉私钥的密码

openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
         
         req 表示证书输出的请求

         -days 3650 时间=10 年

         -x509 签发x509格式证书命令

         -newkey  此选项创建一个新的证书请求和一个新的私钥。 该参数采用以下几种形式之 一。 rsa：nbits （其中nbits是位数）会生成nbits大小的RSA密钥

         -key密钥

         -new表示新的请求

         -out输出路径

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

七、配置SSL模块

1.到nginx目录下添加ssl模块

这里我把vts监控模块也一起添加了

./configure --prefix=/usr/local/nginx --add-module=/usr/local/nginx-module-vts-master/ --prefix=/usr/local/nginx --with-http_ssl_module
1

2.编译安装

注意，这里切记不要执行make install 否则就把原来安装得nginx所有文件都覆盖掉了

make 
1

3.查看模块

关闭服务
然后用源码包中刚刚表一好得nginx把安装目录中得nginx替换掉

systemctl stop nginx
cp ./objs/nginx /usr/local/nginx/sbin/
1
2

nginx -V
1

添加成功

4.编辑配置文件

vim /usr/local/nginx/conf/nginx.conf
1

server {
        listen       443 ssl;
        server_name  192.168.226.132;
        ssl_certificate      /etc/nginx/ssl_key/server.crt;
        ssl_certificate_key  /etc/nginx/ssl_key/server.key;

        location / {
            root   /https-ngs;
            index  index.html index.htm;
        }
    }

1
2
3
4
5
6
7
8
9
10
11
12

创建网页文件，配置nginx时指向这个文件路径

mkdir /https-ngs

echo "
this is https ngs
" > /https-ngs/index.html
1
2
3

测试

访问得机器添加映射

启动nginx

访问https://www.ngs.com
因为我这里是内网环境，证书不被信任，所以还是不安全的状态

rewrite地址重写（http重定向到https）

vim /usr/local/nginx/conf/nginx.conf
1

修改80端口

重启服务后访问http://www.ngs.com

跳转到https://www.ngs.com

---