一、背景介绍
域名、SSL证书、服务器我们公司都用的是非中国大陆的,主要是为了避开备案、审核等繁琐过程。
- 域名:Godaddy平台。
- SSL证书:Godaddy平台。
- 服务器:香港阿里云,系统为:CentOS Linux release 7.6.1810 (Core) 。
- WEB服务器:采用Nginx 部署。
二、购买SSL证书
SSL证书我购买的是Godaddy UCC/SAN SSL证书,可以配置5个域名。
购买完后在你的Godaddy管理平台就能看到你购买的证书,然后操作界面去配置你的域名
配置域名时有两种方式,方式一(也是默认方式)是通过界面输入你要配置的主域名,以及4个备域名(SAN),即使你现在不够4个备域名配置也没关系,以后可以继续加的,放心配置即可。
输入域名点击提交后,界面上会显示生成了两个文件:csr、private-key,点击保存按钮可以将这两个文件以txt文件的格式保存到本地:generated-csr.txt、generated-private-key.txt。在后面的配置中,可以直接将generated-private-key.txt后缀名改成.key,变成generated-private-key.key,作为SSL的私钥文件使用。
但配置完nginx的ssl_certificate、ssl_certificate_key后重启nginx时,有可能会保存不成功,出现以下错误信息
[emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/ssl/myxxxxgame201904.key") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: ANY PRIVATE KEY error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib)
原因是.key文件的编码有问题,需要将编码格式由UTF-8改成ANSI
iconv -c -f UTF8 -t ASCII generated-private-key.key >> generated-private-key.key
方式二(选择右边的方式二上传csr)是先在你服务器生成.csr和.key文件,然后将.csr内容拷贝到界面的配置输入框中,本文主要介绍用方式二来进行配置。
一开始我是用方式一做的,没有成功(应该是防火墙的问题),然后想删除证书重新进行配置,所以进行了revoke(永久删除)操作,一操作完,发现刚花了1700RMB买的SSL证书不见了,吓出一身冷汗,最后还是通过联系客服找了回来,联系客服可以扫描Godaddy的微信公众号,客服会通过微信的方式和你进行沟通,Godaddy的客服响应速度非常快,态度也非常好,个人的体验可以给满分,给Godaddy点个赞,Godaddy比国内的某些平台售后体验好很多。给各位的建议是,千万不要手贱进行revoke操作!
三、生成 NGINX CSR(证书签名申请)
Godaddy 官网上有相关的操作文档可以进行参考
3.1 连接到服务器
通过 SSH 连接至您的服务器
3.2 生成.csr、.key的文件
首先第一步先登录自己的服务器,然后在自己的服务器上生成私钥和.csr的文件。
openssl req -new -newkey rsa:2048 -nodes -keyout 您的域名.key -out 您的域名.csr
用您保护的域名替换您的域名。 例如,如果您的域名是 coolexample.com,您可以键入 coolexample.key 和 coolexample.csr。
3.3 输入申请的信息
以下是我填写的信息,部分敏感信息我用test替代
Country Name (2 letter code) [XX]:MO
State or Province Name (full name) []:Macao
Locality Name (eg, city) [Default City]:Macao
Organization Name (eg, company) [Default Company Ltd]:Go MACAO
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:www.test.com
Email Address []:test@126.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:test_pwd
An optional company name []:www.test2.com,www.test3.com,www.test4.com
其中www.test.com是你要配置的主域名,下面的test2,test3,test4是备域名(我买的这SSL证书可以配置5个域名)。
3.4 复制CSR
在文本编辑器中打开 CSR,然后复制所有文本到Godaddy管理平台SSL配置的界面。
点击【保存】按钮,然后再点击最下面的【提交所有已保存的更改】
如果【提交所有已保存的更改】按钮一直为灰色不可点击,可以尝试换一个浏览器操作,我用google浏览器不行,换成Safari就可以了。
3.5 等待证书审核
提交之后Godaddy会对我们的证书进行审核,审核通过或就会颁发证书,这个审核时间非常短,两分钟之内就能审核完成。
四、安装 & 配置证书
4.1 下载证书文件
下载列表里没有Nginx的选项,我们选择【其他】进行下载即可
下载的证书文件有三个,其中两个.crt文件,需要通过cat 命令将这两个文件合并成一个.crt文件(后面会讲到),一个.pem文件,这个文件我们用不到。
4.2 上传证书文件到服务器
在服务器上去配置证书。你把下载的东西解压,会发现一个随机数.crt,一个随机数.pem。这个两个的文件是一样的,再一个gd_开头的.crt的文件。只要2个.crt的文件就好了。你把这连个上传到服务器上,然后通过命令合并成一个文件。
cat f84e19a2f44c6386.crt gd_bundle-g2-g1.crt >> coolexample.crt
再去Nginx配置文件中配置就好了。这个时候有最开始生成的.key文件(私钥)和一个合并之后.crt文件(证书)。
4.3 Nginx配置
server{
listen 80;
server_name test.com www.test.com;
return 301 https://$host$request_uri;
}
server{
listen 443 ssl;
server_name test.com www.test.com;
ssl_certificate /etc/nginx/conf.d/cert/test.crt;
ssl_certificate_key /etc/nginx/conf.d/cert/test.key;
location /{
root /data/pc/test/dist;
index index.html;
try_files $uri $uri/ /index.html;
}
配置完后重启nginx,就可以用https访问了,同时,.crt和.key文件可以在不同目录,不一定非要在一个目录里。
五、巨坑-开防火墙
正常的话,执行完以上的操作就完成了SSL的配置,就已经可以用https来访问了。但我执行完以上操作后发现https一直是失败的,而且我也确定在阿里云的ECS安全组已经开放了80和443端口,最后找到原因是防火墙的问题。
5.1 检查防火墙端口
firewall-cmd --list-ports
看看输出有没有80/tcp与443/tcp
5.2 允许TCP协议下的 80,443 端口 暴露到互联网
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --reload
至此,SSL的配置工作已经全部结束了,虽然我用的是Godaddy平台的SSL,同理,其他平台的SSL配置也是类似。
最后给大家送波福利
