一、SSL证书申请#
#openssl genrsa -out *server.key* 2048#openssl req -new -key *server.key* -out *certreq.csr**以下黑色标识文字仅供参考,请根据商户自己实际情况进行填写*Country Name: CN //您所在国家的ISO标准代号,中国为CNState or Province Name:guangdong //您单位所在地省/自治区/直辖市Locality Name:shenzhen //您单位所在地的市/县/区Organization Name: Tencent Technology (Shenzhen) Company Limited //您单位/机构/企业合法的名称Organizational Unit Name: R&D //部门名称Email Address: //您的邮件地址,不必输入,直接回车跳过"extra"attributes //以下信息不必输入,回车跳过直到命令执行完毕。执行上面的命令后,在当前目录下即可生成私钥文件server.key*和certreq.csr* csr文件3、将生成的csr文件提交给第三方证书颁发机构申请对应域名的服务器证书,同时将私钥文件保存好,以免丢失。4、证书申请后,证书颁发机构会提供服务器证书内容和两张中级CA证书,请按证书颁发机器说明��生成服务器证书,此处假设服务器证书文件名称为*server.pem*5、将生成的私钥文件server.key*和服务器证书server.pem*拷贝至服务器指定的目录即可进行HTTPS服务器配置二、HTTPS服务器配置#
**ssl_certificate /etc/nginx/***server.pem*****; #指定服务器证书路径**ssl_certificate_key /etc/nginx/***server.key*****; #指定私钥证书路径ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #指定SSL服务器端支持的协议版本ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; #指定加密算法ssl_prefer_server_ciphers on; #在使用SSLv3和TLS协议时指定服务器的加密算法要优先于客户端的加密算法三、相关事项#
部分国内签发的SSL证书,在Android上不受信任,推荐GeoTrust;(2)如果页面有动静分离,静态资源使用独立域名的话,也需要为该域名申请证书;(3)android低版本不支持SNI扩展,受此限制,一台服务器只能部署一个数字证书;修改于 2025-09-28 08:42:33
