备注

• 以GlobalSign的签名证书为例说明，其他机构的证书签署过程基本一致；

• 以goodcompany.com这个虚拟域名为例说明；

1、创建域名申请

• 创建ssl目录放置申请文件

mkdir ssl

• 生成证书签名申请文件

• 需要根据实际情况填入字段

2、将server.csr发给GlobalSign

略

3、GlobalSign生成证书并发回

• 发回的证书包括两部分

SSL证书

中级域名证书

• 将证书按照ssl证书、中级证书的顺序放入文本文件goodcompany.com.pem

• GlobalSign会通过第一次注册使用的邮箱、dns的txt记录、web服务器上特定文件来确定发回证书的邮箱。

4、设置nginx重启时不需输入证书的密码

openssl rsa -in goodcompany.com.key -out goodcompany.com.key.unsecure

5、设置放置证书目录权限

• 把步骤3、4中生成的证书放到/etc/nginx/conf.d/ssl下面

• 如果放到其他其他目录，保证nginx用户有读取权限

6、nginx配置

• 关于https的详细设置及免费的https证书设置，可以参考：nginx使用let’s encrypt https证书并启用http2的使用记录：http://blog.chinaunix.net/uid-20099692-id-5762680.html

7、测试并启用证书

• 测试并运行

nginx -t && nginx -s reload

• 利用浏览器访问，确认证书是否可用，以及查看有效期

8、参考及致谢

在 nginx 启动时免输入 SSL 证书密码：https://hack0nair.me/2014-09-07-avoid-enter-ssl-certificate-password-when-nginx-starts/

openssl、x509、crt、cer、key、csr、ssl、tls 这些都是什么鬼?：http://www.cnblogs.com/yjmyzz/p/openssl-tutorial.html

Install Certificate - Nginx：https://support.globalsign.com/customer/en/portal/articles/1290470-install-certificate---nginx