生成 NGINX CSR
1、通过SSH连接到服务器,注意需要Linux服务器,windows服务器没有测试。
2、运行以下命令:(这里注意 您的域名.key 这个也是需要用到的)
openssl req -new -newkey rsa:2048 -nodes -keyout 您的域名.key -out 您的域名.csr
3、输入申请信息,这一步可以省略,全部留空也是可以的,依然正常通过了。不过注意最后的密码还是建议设置一下的。
4、在文本编辑器中打开 CSR,然后复制所有文本。
5、将完整的 CSR 粘贴到您账户的 SSL 申请区域。
然后就可以获得一个压缩包,这个压缩包里面包含这样几个内容:
xxxxxxx.crt
xxxxxx.pem
gd_bundle-g2-g1.crt
这个是不能直接使用的,需要合并两个crt文件才可以。可以使用这个命令进行合并:
cat xxxxxxx.crt gd_bundle-g2-g1.crt > 你的域名.crt
注意顺序,gd_bundle-g2-g1.crt 这个必须在后面。
这样就能获得可以使用的 crt 和 key 了,有了这两个就可以去配置nginx了
nginx的完整配置如下:
server {
listen 80;
listen 443 ssl http2;
server_name 你的域名;
ssl_certificate /home/conf/https/你的域名.crt;
ssl_certificate_key /home/conf/https/你的域名.key;
#charset koi8-r;
#access_log /var/log/nginx/host.access.log main;
location / {
root /home/www/html;
index index.html index.htm;
}
}
这个配置支持 http 和 https 两种,也可以做跳转将 http 都指向 https
然后就是 测试 nginx 的配置正确性使用
nginx -t
如果看到 ok ,那么恭喜你,配置正确,并且通过测试,重启 nginx 就可以生效了。注意修改域名指向,并且 ping 一下域名,确认域名指向已经生效了。
如果购买的是通用域名的SSL那么二级域名也是可以使用的,如果在不同的服务器,只需要把 合并好的 你的域名.crt 和 你的域名.key 复制到新的服务器就可以正常使用了。
如果一切都是按照这样的流程操作一般是不会遇到任何问题的。下面把我遇到的奇葩问题列出来,希望能帮助到有需要的小伙伴。
情况是这样的,同事已经生成了 crt 文件了,因为我需要配置二级域名,于是就让同事把文件传递给我。他给了我一个压缩包,我按照流程,合并 crt ,配置好 crt 和 key 文件,nginx -t 进行测试,遇到以下问题,关键错误信息:
第一步猜测是不是因为 aconda 环境问题导致。
aconda自动加入了命令到 .bashrc中,在打开终端的时候自动执行了conda activate base 命令导致的,命令conda deactivate可以去掉(base)
执行之后发现错误依然存在。
错误信息1:
nginx: [emerg] cannot load certificate SSL: error:0200100D:system library:fopen:Permission denied:fo
忘记自己是否经历过这个错误了,但是我按照这个错误度娘了解决方案
度娘这个错误,发现一个解决方案和产生原因说明:
SELinux 文件不能访问的原因,是程序与目标文件的 scontext(Security Context) 不一致。
Nginx 使用的是 httpd_config_t,自己copy的文件使用的是 user_home_t。
查看文件的 scontext 方式是 ls -Z 就能看到类似这样的情况:
$ sudo ls -lrtZ /etc/nginx/ssl
-rw-r--r--. root root unconfined_u:object_r:user_home_t:s0 你的域名.crt
-rw-r--r--. root root unconfined_u:object_r:user_home_t:s0 你的域名.key
修改 scontext 的方法
chcon -R -t httpd_config_t 你的域名.crt
chcon -R -t httpd_config_t 你的域名.key
-R 是递归,可以修改多个文件的 scontext
(注意,默认服务器应该是禁用 SELinux 的,禁用了,应该就没有类似问题了,没有实际测试,本次操作的服务器,SELinux处于开启状态)
修改完成之后,nginx -t 依然产生错误。
错误信息2:
failed SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: ANY PRIVATE KEY
核心是 no start line 没有起始行,找到一个说明:
是证书文件没配置正确导致的,下面是正确的证书格式开头和结尾,打开检查一下自己的。
ssl certificate文件里:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
ssl key certificate文件里:
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
打开 key 文件,发现 确实,我的文件是这样的
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
修改之后测试,问题依旧。(最终测试这个不用修改,错误点不在这里)
继续查,发现可能是文件编码问题,于是查看文件编码
file 你的域名.key
返回的文件格式居然是 UTF-8 + BOM ,正确的格式应该是 ASCII
修改文件格式为 ASCII 之后,一切正常了。
nginx -t 测试通过,重启 nginx 成功。
产生问题的原因分析,后来和同事沟通,同事可能是在windows执行的命令,然后直接放在亚马逊的S3上使用的,一切正常并没有遇到问题。亚马逊的S3并没有使用到 key 文件。可能同事在保存 key 文件的时候没有注意格式,也可能是在linux上执行的命令,然后复制key文件的内容到本地文件。
本文地址:https://gpu.xuandashi.com/6948.html,转载请说明来源于:渲大师
声明:本站部分内容来自网络,如无特殊说明或标注,均为本站原创发布。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。分享目的仅供大家学习与参考,不代表本站立场!
