SSL证书怎么配置

服务器配置SSL证书是根据服务器操作操作系统环境配置SSL证书：

常见的服务器环境是：Nginx、Apache、IIS、Tomcat

（操作前都建议您先备份原文件）

1、nginx配置说明

1）. 准备好证书文件（将证书文件和中间证书合并成一个XXX.crt文件）和XXX.key（私钥）文件。

2). 将证书文件和KEY文件都上传到服务器（推荐放到etc/nginx/cert/文件夹下）。

3). 修改nginx配置文件如下(默认配置文件一般是在/etc/nginx/目录下)：

# 以下属性中以ssl开头的属性代表与证书配置有关，其他属性请根据自己的需要进行配置。

server {

listen 443;

server_name localhost;  # localhost修改为您证书绑定的域名。

ssl on;   #设置为on启用SSL功能。

root html;

index index.html index.htm;

ssl_certificate cert/domain name.pem;   #将domain name.pem替换成您证书的文件名。

ssl_certificate_key cert/domain name.key;  #将domain name.key替换成您证书的密钥文件名。

ssl_session_timeout 5m;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;  #使用此加密套件。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;   #使用该协议进行配置。

ssl_prefer_server_ciphers on;

location / {

root html;   #站点目录。

index index.html index.htm;   #添加属性。

}

4). 保存nginx.conf文件后退出。

5). 检查配置文件中是否有语法问题。

nginx -t

6). 重启Nginx服务。

systemctl restart nginx

2、Apache配置说明

前提条件：Apache 需要先安装 ssl 模块之后才支持 https 的配置，如果没有ssl模块，可以使用“yum install mod_ssl –y”进行安装。

1）、安装证书

a、 将 xxx.crt 证书文件，xxx.ca-bundle 中间证书文件和 xxx.key 私钥文件都上传到 Apache服务器上文件夹中(可以新建一个 cert 文件夹，一般放在 Apache 的安装目录下)；

b、 打开 Apache 安装目录下 conf.d/ssl.conf文件 (也可能是 conf/extra/httpd-ssl.conf，与操作系统及安装方式有关)， 在配置文件中查找以下配置语句:

# 添加 SSL 协议支持协议，去掉不安全的协议

SSLProtocol all -SSLv2 -SSLv3

# 修改加密套件如下

SSLCipherSuite ECDH:AESGCM:HIGH:!DH:!RC4:!aNULL:!eNULL

SSLHonorCipherOrder on

SSLCertificateFile /etc/httpd/conf/cert/xxx.crt #这里配置证书文件的路径

SSLCertificateKeyFile /etc/httpd/conf/cert/xxx.key #配置 key 文件的路径

SSLCertificateChainFile /etc/httpd/conf/cert/xxx.ca-bundle #配置中间证书的路径

2）、重启 Apache

systemctl restart httpd

3、IIS配置说明

第一个网站绑定证书时，“需要服务器名称指示”这里不打勾，绑定第二个证书时候，这里打勾

4)、重启网站，让SSL证书生效

Tomcat配置SSL证书

一、   安装PFX格式证书

1、  准备好证书文件（将证书文件和中间证书合并成一个 pfx格式证书文件 ）和XXX.key（私钥）文件以及证书密码。

2、   在Tomcat安装目录下新建cert目录，将证书文件拷贝到cert目录下。

3、   打开Tomcat > conf > server.xml文件，在server.xml文件中添加以下属性（其中port属性请根据您的实际情况修改，其中protocol建议为：

protocol=”org.apache.coyote.http11.Http11Protocol”）：

    protocol=”HTTP/1.1″
    SSLEnabled=”true”
    scheme=”https”
    secure=”true”
    keystoreFile=”domain name.pfx”   #此处keystoreFile代表证书文件的路径，请用您证书的文件名替换domain name。
    keystoreType=”PKCS12″
    keystorePass=”证书密码”   #请用您证书密码替换文件中的内容。
    clientAuth=”false”
    SSLProtocol=”TLSv1+TLSv1.1+TLSv1.2″
ciphers=”TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256″/>

4、   保存server.xml文件配置。

5、   （可选步骤）配置web.xml文件开启HTTP强制跳转HTTPS。

#在后添加以下内容：
 
     
    CLIENT-CERT 
    Client Cert Users-only Area  
 
 
     
     
        SSL 
        /* 
     
     
        CONFIDENTIAL 

6、   重启Tomcat。

二、   安装JKS格式证书

1、   转换证书格式为JKS：

1)      输入以下java JDK命令将PFX格式的证书转换成JKS格式：

keytool -importkeystore -srckeystore domain name.pfx -destkeystore domain name.jks -srcstoretype PKCS12 -deststoretype JKS

说明： Windows系统中，需在 %JAVA_HOME%/jdk/bin目录下执行该命令。

2)     利用转换工具：https://www.racent.com/cert-convert。（原格式选PEM）

2、  回车后输入PFX证书密码和JKS证书密码。

说明： JKS证书密码等同于PFX证书密码。两个密码不同的时候会导致Tomcat重启失败。

3、  在Tomcat安装目录下新建cert目录，将证书和密码文件拷贝到cert目录下。

4、  打开Tomcat安装目录 > conf文件夹 > server.xml文件，在server.xml文件中找到

keystoreFile=”cert/domain name.jks”   #此处keystoreFile代表证书文件的路径，请用您证书的文件名替换cert/后面的内容。

keystoreType=”PKCS12″

keystorePass=”证书密码”   #请输入您的证书密码。

参考以下完整配置（其中port属性请根据您的实际情况修改）：

protocol=”HTTP/1.1″

SSLEnabled=”true”

scheme=”https”

secure=”true”

keystoreFile=”cert/domain name.jks”

keystoreType=”PKCS12″

keystorePass=”证书密码”

clientAuth=”false”

SSLProtocol=”TLSv1+TLSv1.1+TLSv1.2″

ciphers=”TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256
/>

5、  保存server.xml文件配置。

6、  重启Tomcat。

测试 SSL 证书

在浏览器地址栏输入绑定ssl证书的域名，如https://sudu.cn，测试您的 SSL 证书是否安装成功。如果成功，则浏览器地址栏会显示一个安全锁标志，点击可查看证书信息。