Nginx证书管理

一、下载证书到本地

Nginx服务器上传/管理SSL证书，将SSL证书压缩包下载到本地后，加压Nginx服务器证书的压缩包文件

cert-file-name.pem #PEM格式的证书文件，PEM格式的证书文件是采用Base64编码的文本文件，您可以根据需要将证书文件修改成其他格式。

cert-file-name.key #KEY格式是证书的私钥文件。

二、在Nginx服务器上安装证书

登录Nginx服务器，进入Nginx的安装目录（默认是/usr/local/nginx/conf目录下），创建一个存放证书的目录

cd /usr/local/nginx/conf #进入Nginx默认安装目录。如果您修改过默认安装目录，请根据实际配置调整 

mkdir cert #创建证书目录，命名为cert

编辑Nginx配置文件

vim /usr/local/nginx/conf/nginx.conf

#以下属性中，以ssl开头的属性表示与证书配置有关。
server {
    listen 443 ssl;
    #配置HTTPS的默认访问端口为443。
    #如果未在此处配置HTTPS的默认访问端口，可能会造成Nginx无法启动。
    server_name yourdomain;
    #yourdumain：需要绑定证书的域名
    root html;
    index index.html index.htm;
    ssl_certificate cert/cert-file-name.pem;  
    #上传证书的文件名称，这里的cert是相对位置下的文件路径
    ssl_certificate_key cert/cert-file-name.key; 
    #上传证书的私钥文件名称
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    #表示使用的加密套件的类型。
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; #表示使用的TLS协议的类型，您需要自行评估是否配置TLSv1.1协议。
    ssl_prefer_server_ciphers on;
    location / {
        root html;  #Web网站程序存放目录。
        index index.html index.htm;
    }
}

配置完成后，按Esc键、输入:wq!并按Enter键，保存修改后的配置文件并退出编辑模式

若需要设置HTTP请求自动跳转HTTPS

通过HTTP访问自动跳转到HTTPS页面，则可以在需要跳转的HTTP站点下添加以下rewrite语句

#以下代码片段需要放置在nginx.conf文件中server {}代码段后面，即设置HTTP请求自动跳转HTTPS后，nginx.conf文件中会存在两个server {}代码段

server {
    listen 80;
    server_name yourdomain; #需要将yourdomain替换成证书绑定的域名。
    rewrite ^(.*)$ https://$host$1; #将所有HTTP请求通过rewrite指令重定向到HTTPS。
    location / {
        index index.html index.htm;
    }
}

重启Nginx服务

nginx -t    #检验Nginx的配置文件有无问题
cd /usr/local/nginx/sbin    #进入Nginx服务的可执行目录。
./nginx -s reload    #重新载入配置文件。

三、校验域名绑定的证书是否更换成功

证书更换完成后可以通过访问证书所绑定的域名来校验证书是否绑定成功，登录浏览器访问https://yourdomainhttps://yourdomain #yourdomain是你绑定证书的域名