关于ssl的申请和配置

我在这篇文章中大概写了获得免费ssl认证的方式,只是照本宣科,毫无意义,而且其本身在不断升级完善,固定的获取方式会导致该方法不能保证长期有效,所以我们需要更详细的了解其运作方式。

我们这次在FREESSL.CN这个网站申请免费的ssl认证。具体的申请流程略去,我们只谈配置相关的内容。

在这里申请之后会要求我们验证对该域名的所有权,并获得两个文件,full_chain.pem,private.key,一个是证书,也就是公钥,另外一个是私钥文件,我们把这连个文件传到服务器上,接下来就是对服务器配置文件的修改。

listen 443 ssl;
		server_name 您的域名;

		ssl on;
		ssl_certificate 路径/full_chain.pem;
		ssl_certificate_key 路径/private.key;
		ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
		ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;
		ssl_prefer_server_ciphers on;
		ssl_session_cache shared:SSL:10m;
		ssl_session_timeout 30m;

以上是nginx服务器的配置文件中server字段的配置内容,其中

ssl_protocols 限制ssl的连接版本,

ssl_ciphers 定义算法

ssl_prefer_server_ciphers 开启优先采用服务器算法

ssl_session 分别是开启ssl缓存和过期时间,用来减少服务器负担。

最后免费的ssl认证只能认证域名的所有权,保证数据的传输安全。对企业来说是远远不够的,只推荐非商业的小型网站使用。

发表评论