Nginx服务器上安装SSL证书

---

一、准备工作

已申请 SSL 证书，并且证书为 “已签发” 状态。申请流程见：华为云SSL证书申请流程。

1.注意事项

（1）证书安装前，务必在安装 SSL 证书的服务器上开启 “443” 端口，同时在安全组增加 “443” 端口，避免安装后仍然无法启用 HTTPS。

（2）如果一个域名有多个服务器，则每一个服务器上都要部署。

（3）待安装证书的服务器上需要运行的域名，必须与证书的域名一一对应，即购买的是哪个域名的证书，则用于哪个域名。否则安装部署后，浏览器将提示不安全。

二、安装步骤

①获取文件 → ②创建目录 → ③修改配置文件 → ④验证配置是否正确 → ⑤重启Nginx → ⑥效果验证

1.获取文件

在华为云“SSL证书管理”列表页面，点击“下载”：

跳转到下载证书页面，点击【下载证书】：

下载的证书为一个 *.zip 文件，文件内容如下：

从 “证书ID_证书绑定的域名_Nginx” 文件夹内获得证书文件 “证书ID_证书绑定的域名_server.crt” 和私钥文件 “证书ID_证书绑定的域名_server.key”：

将 “证书ID_证书绑定的域名_server.crt” 改名为 “server.crt” ；
“证书ID_证书绑定的域名_server.key” 改名为 “证书ID_证书绑定的域名_server.key”。

2.创建目录

在 Nginx 的安装目录下创建 “cert” 目录，并且将 “server.key” 和 “server.crt” 拷贝到“cert”目录下。

3.修改配置文件

修改 Nginx 中 “conf” 目录下的 “nginx.conf” 配置文件：

#管理端https
server {
     listen 443 ssl;
     server_name admin.xxxx.xxx;
     ssl_certificate ../cert/server.crt;
     ssl_certificate_key ../cert/server.key;
     ssl_session_timeout 5m;
     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
     ssl_prefer_server_ciphers on;

     location / {
         root     html;
         index    index.html index.htm;
     }
}

4.验证配置是否正确

执行 Nginx 命令验证配置是否正确：

./sbin/nginx -t

当回显如下信息时，表示配置正确：

[root@server-c00ef8c3-710d-4708-9cde-2c864e7c03e2 nginx]# ./sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

5.重启 Nginx

执行以下命令，重启 Nginx，使配置生效：

cd /usr/local/nginx/sbin

./nginx -s reload

6.效果验证

部署成功后，在浏览器的地址栏中输入 “https://域名”，如果浏览器地址栏显示安全锁标识，则说明证书安装成功：

点击“锁头” -> “连接是安全的”：

再点击“证书有效”：

可查看到证书的有效期：