SSL证书配置

证书安装指引

官方文档： https://cloud.tencent.com/document/product/400/4143

• 1. Apache 2.x 证书部署]

• 2. Nginx 证书部署

• 3. IIS 证书部署]

• 4. Tomcat 证书部署

下载得到的www.domain.com.zip文件，解压获得3个文件夹，分别是 Apache、IIS、Nginx 服务器的证书文件。
下面提供了4类服务器证书安装方法的示例：

1. Apache 2.x 证书部署

1.1 获取证书

Apache文件夹内获得证书文件1_root_bundle.crt，2_www.domain.com_cert.crt和私钥文件3_www.domain.com.key。
1_root_bundle.crt文件包括一段证书代码 “-----BEGIN CERTIFICATE-----” 和 “-----END CERTIFICATE-----”,
2_www.domain.com_cert.crt文件包括一段证书代码 “-----BEGIN CERTIFICATE-----” 和 “-----END CERTIFICATE-----”,
3_www.domain.com.key文件包括一段私钥代码 “-----BEGIN RSA PRIVATE KEY-----” 和 “-----END RSA PRIVATE KEY-----”。

1.2 证书安装

1）编辑 Apache 根目录下 conf/d.conf 文件，找到#LoadModule ssl_module modules/mod_ssl.so和#Include conf/extra/httpd-ssl.conf，去掉代码前面的#号。

2）编辑 Apache 根目录下 conf/extra/httpd-ssl.conf 文件，修改成如下内容：

    DocumentRoot "/var/www/html"
    ServerName www.domain.com
    SSLEngine on
    SSLCertificateFile /usr/local/apache/conf/2_www.domain.com_cert.crt
    SSLCertificateKeyFile /usr/local/apache/conf/3_www.domain.com.key
    SSLCertificateChainFile /usr/local/apache/conf/1_root_bundle.crt

配置完成后，重启 Apache 即可使用https://www.domain.com来访问。

相关参数说明如下：

2. Nginx 证书部署

2.1 获取证书

Nginx 文件夹内获得 SSL 证书文件1_www.domain.com_bundle.crt和私钥文件2_www.domain.com.key。
1_www.domain.com_bundle.crt文件包括两段证书代码 “-----BEGIN CERTIFICATE-----” 和 “-----END CERTIFICATE-----”,
2_www.domain.com.key文件包括一段私钥代码 “-----BEGIN RSA PRIVATE KEY-----” 和 “-----END RSA PRIVATE KEY-----”。

2.2 证书安装

将域名www.domain.com的证书文件1_www.domain.com_bundle.crt、私钥文件2_www.domain.com.key保存到同一个目录，例如 /usr/local/nginx/conf 目录下。
修改 Nginx 根目录下 conf/nginx.conf 文件，内容如下：

server {
        listen 443;
        server_name www.domain.com; #填写绑定证书的域名
        ssl on;
        ssl_certificate 1_www.domain.com_bundle.crt;
        ssl_certificate_key 2_www.domain.com.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
        ssl_prefer_server_ciphers on;
        location / {
            root   html; #站点目录
            index  index.html index.htm;
        }
    }

配置完成后，请先执行命令bin/nginx –t测试 Nginx 配置是否有误。若无报错，重启 Nginx 之后，即可使用https://www.domain.com来访问。

相关参数说明如下：

2.3 使用全站加密，HTTP 自动跳转 HTTPS（可选）

对于用户不知道网站可以进行 HTTPS 访问的情况下，让服务器自动把 HTTP 的请求重定向到 HTTPS。
在服务器这边的话配置的话，可以在页面里加 js 脚本，也可以在后端程序里写重定向，当然也可以在 web 服务器来实现跳转。Nginx 是支持 rewrite 的（只要在编译的时候没有去掉 pcre）
在 HTTP 的 server 里增加rewrite ^(.*) https://$host$1 permanent;
这样就可以实现 80 进来的请求，重定向为 HTTPS 了。

3. IIS 证书部署

3.1 获取证书

IIS 文件夹内获得SSL证书文件www.domain.com.pfx。

3.2 证书安装

1、打开 IIS 服务管理器，单击计算机名称，双击 “服务器证书”。

2、双击打开服务器证书后，单击右则的导入。

3、选择证书文件，如果输入申请证书时有填写私钥密码需要输入密码，否则输入文件夹中密码文件 keystorePass.txt 的密码内容，单击确定。具体操作请参考私钥密码指引。

4、单击网站下的站点名称，单击右则的绑定。

5、打开网站绑定界面后，单击添加。

6、添加网站绑定内容：选择类型为 HTTPS，端口443和指定对应的 SSL 证书，单击确定。

7、添加完成后，网站绑定界面将会看到刚刚添加的内容。

4. Tomcat 证书部署

4.1 获取证书

如果申请证书时有填写私钥密码，下载可获得 Tomcat 文件夹，其中有密钥库www.domain.com.jks。
如果没有填写私钥密码，证书下载包的 Tomcat 文件夹中包括密钥库文件www.domain.com.jks与密钥库密码文件keystorePass.txt。
当用户选择粘贴 CSR 时，不提供 Tomcat 证书文件的下载，需要用户手动转换格式生成,操作方法如下：

可以通过 Nginx 文件夹内证书文件和私钥文件生成jks格式证书
转换工具：https://www.trustasia.com/tools/cert-converter.htm
使用工具时注意填写密钥库密码，安装证书时配置文件中需要填写。

4.2 证书安装

配置SSL连接器，将www.domain.com.jks文件存放到 conf 目录下，然后配置同目录下的server.xml文件：

说明：

如需更多帮助，请查看Tomcat 官方指导文档。

相关参数说明如下：