在CentOS上使用Nginx生成SSL证书,通常有两种方法:使用Let’s Encrypt免费证书或购买SSL证书。以下是使用Let’s Encrypt免费证书的步骤:
安装Certbot: Certbot是一个自动化的工具,可以用来获取、安装和管理Let’s Encrypt证书。
sudo yum install epel-release
sudo yum install certbot python2-certbot-nginx
运行Certbot: 使用Certbot获取并安装SSL证书。
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
这里的yourdomain.com和www.yourdomain.com是你的域名。
配置Nginx:
Certbot会自动修改你的Nginx配置文件,添加SSL相关的配置。你可以检查/etc/nginx/conf.d/yourdomain.com.conf文件,确保包含以下内容:
server {
listen 443 ssl;
server_name yourdomain.com www.yourdomain.com;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
# 其他配置...
}
重启Nginx: 使配置生效。
sudo systemctl restart nginx
设置自动续期: Certbot会创建一个定时任务来自动续期证书。
sudo systemctl enable certbot.timer
sudo systemctl start certbot.timer
如果你不想使用Certbot,也可以手动生成SSL证书。
生成私钥:
sudo openssl genrsa -out /etc/nginx/ssl/yourdomain.com.key 2048
生成CSR(证书签名请求):
sudo openssl req -new -key /etc/nginx/ssl/yourdomain.com.key -out /etc/nginx/ssl/yourdomain.com.csr
在提示时输入相关信息,如国家、组织名称等。
提交CSR到CA: 将生成的CSR文件提交给Let’s Encrypt或其他CA(证书颁发机构)以获取证书。
安装证书: 下载CA返回的证书文件,并将其放置在适当的位置。
sudo cp /path/to/fullchain.pem /etc/nginx/ssl/yourdomain.com.crt
sudo cp /path/to/privkey.pem /etc/nginx/ssl/yourdomain.com.key
配置Nginx: 修改Nginx配置文件,添加SSL相关的配置。
server {
listen 443 ssl;
server_name yourdomain.com www.yourdomain.com;
ssl_certificate /etc/nginx/ssl/yourdomain.com.crt;
ssl_certificate_key /etc/nginx/ssl/yourdomain.com.key;
# 其他配置...
}
重启Nginx:
sudo systemctl restart nginx
无论使用哪种方法,确保你的Nginx配置文件正确无误,并且防火墙允许443端口的流量。
