Étape 1 : Téléchargez le certificat SSL
- Connectez-vous à la console du service de gestion des certificats numériques .
- Dans la barre de navigation de gauche, cliquez sur Certificats SSL .
- Sur la page du certificat SSL , recherchez le certificat cible et dans la colonne Action , cliquez sur Télécharger .
-
Dans la colonne Action où le type de serveur est Nginx , cliquez sur Télécharger .
-
Décompressez le package de compression du certificat SSL téléchargé.
Selon la méthode de génération CSR que vous avez sélectionnée lors du dépôt de la demande de certificat, les fichiers obtenus après décompression sont différents, comme le montre le tableau suivant.
zoomer sur la vueMéthode de génération RSE
Fichiers inclus dans le package zip du certificat
Le système génère ou sélectionne un CSR existant
Incluez les fichiers suivants :
-
Fichier de certificat (format PEM) : par défaut, il est nommé d'après le nom de domaine de liaison ID_certificate du certificat . Le fichier de certificat au format PEM est un fichier texte encodé en Base64.
-
Fichier de clé privée (format TXT) : le mot de passe du fichier de certificat, nommé d'après le nom de domaine lié par défaut au certificat .
Remplissez manuellement
Seul le fichier de certificat (au format PEM) est inclus et vous devez créer manuellement le fichier de clé privée du certificat. Pour plus de détails, consultez Création d'une clé privée .
illustrerSelon les besoins réels, vous pouvez convertir le fichier de certificat au format PEM vers d'autres formats. Pour plus de détails sur la façon de convertir le format de certificat, consultez Conversion du format de certificat .
-
Étape 2 : Installer le certificat sur le serveur Nginx
Les opérations d'installation des certificats sur les serveurs autonomes Nginx et les hôtes virtuels Nginx sont différentes. Veuillez choisir les étapes d'installation correspondantes en fonction de votre environnement réel.
Installer des certificats sur le serveur autonome Nginx
-
Exécutez la commande suivante pour créer un répertoire pour stocker les certificats sous le répertoire Nginx conf.
Zoomez pour voir le code de copiecd /usr/local/nginx/conf #Entrez le répertoire du fichier de configuration par défaut de Nginx. Ce répertoire est le répertoire par défaut pour la compilation et l'installation manuelles de Nginx. Si vous avez modifié le répertoire d'installation par défaut ou l'avez installé d'une autre manière, veuillez l'ajuster en fonction de la configuration réelle. mkdir cert #Créez un répertoire de certificats nommé cert.
-
Téléchargez le fichier de certificat et le fichier de clé privée dans le répertoire de certificat (/usr/local/nginx/conf/cert) du serveur Nginx.
-
Modifiez le fichier de configuration Nginx nginx.conf pour modifier les configurations liées au certificat.
-
Exécutez la commande suivante pour ouvrir le fichier de configuration.
Zoomez pour voir le code de copievim /usr/local/nginx/conf/nginx.conf
importantnginx.conf est enregistré par défaut dans le répertoire /usr/local/nginx/conf. Si vous avez modifié l'emplacement de nginx.conf, vous pouvez l'exécuter
nginx -t
pour afficher le chemin du fichier de configuration nginx et/usr/local/nginx/conf/nginx.conf
le remplacer. -
Appuyez sur la touche i pour accéder au mode édition.
-
Localisez la configuration des attributs du serveur dans nginx.conf.
-
Supprimez le symbole de commentaire # en début de ligne, et modifiez-le en fonction du contenu suivant.
Zoomez pour voir le code de copieserver { #Le port d'accès par défaut de HTTPS est 443. #Si le port d'accès par défaut de HTTPS n'est pas configuré ici, cela peut empêcher Nginx de démarrer. Listen 443 ssl; #Remplissez le nom de domaine nom_serveur lié au certificat <votredomaine>; #Remplissez le nom du fichier de certificat ssl_certificate cert/<cert-file-name>.pem; #Remplissez le nom de fichier de clé privée du certificat ssl_certificate_key cert /<cert-file-name >.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; #Suite de chiffrement par défaut ssl_ciphers HIGH:!aNULL:!MD5; #Personnaliser le type de protocole TLS et la suite de chiffrement utilisés dans les paramètres (le Voici un exemple de configuration, veuillez évaluer par vous-même Avez-vous besoin de configurer) #Plus la version du protocole TLS est élevée, plus la sécurité de la communication HTTPS est élevée, mais par rapport à la version inférieure du protocole TLS, la version supérieure du Le protocole TLS est moins compatible avec les navigateurs. #ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3 ; #Indique que la suite de chiffrement côté serveur est préférée. ssl_prefer_server_ciphers activé par défaut ; emplacement / { racine html; index index.html index.htm; } }
-
Facultatif : définissez les requêtes HTTP pour qu'elles soient automatiquement redirigées vers HTTPS.
importantrewrite
Si vous souhaitez que toutes les visites HTTP soient automatiquement redirigées vers des pages HTTPS, vous pouvez ajouter des instructions sous les sites HTTP redirigés .
Zoomez pour voir le code de copieserver {}
Les extraits de code suivants doivent être placés après les extraits de code dans le fichier nginx.conf , c'est-à-dire qu'une fois les requêtes HTTP automatiquement redirigées vers HTTPS, il y aura deuxserver {}
extraits de code dans le fichier nginx.conf.server { écoute 80; #Remplissez le nom de domaine nom_serveur lié au certificat <votredomaine>; #Redirigez toutes les requêtes HTTP vers HTTPS via la commande de réécriture. réécrire ^(.*)$ https://$host$1; emplacement / { index index.html index.htm; } }
L'effet de configuration est illustré dans la figure ci-dessous :
-
Une fois la modification terminée, appuyez sur la touche Echap, entrez : wq et appuyez sur la touche Entrée pour enregistrer le fichier de configuration modifié et quitter le mode édition.
-
-
Exécutez la commande suivante pour redémarrer le service Nginx.
Zoomez pour voir le code de copiecd /usr/local/nginx/sbin #Entrez le répertoire exécutable du service Nginx. ./nginx -s reload #Recharger le fichier de configuration.
illustrer-
Erreur
the "ssl" parameter requires ngx_http_ssl_module
: vous devez recompiler Nginx et ajouter--with-http_ssl_module
une configuration lors de la compilation et de l'installation. -
Erreur
"/cert/3970497_demo.aliyundoc.com.pem":BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/cert/3970497_demo.aliyundoc.com.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
: Vous devez supprimer la première partie du chemin relatif du certificat/
. Par exemple, vous devez supprimer/cert/cert-file-name.pem
le premier/
et utiliser le chemin relatif correctcert/cert-file-name.pem
.
-
Installer des certificats sur les hôtes virtuels Nginx
Pour installer des certificats sur différents hôtes virtuels, vous devez effectuer différentes étapes. Si vous utilisez l'hôte virtuel cloud d'Alibaba Cloud, pour plus de détails, voir Activation de l'accès crypté HTTPS . Si vous utilisez un hôte virtuel d'une autre marque, veuillez vous référer au guide d'utilisation de l'hôte virtuel correspondant pour installer le certificat.
Étape 3 : Vérifiez que le certificat SSL est installé avec succès
Une fois le certificat installé, vous pouvez vérifier s'il est correctement installé en accédant au nom de domaine lié du certificat. Zoomez pour voir le code de copie
https://votredomaine #Besoin de remplacer votredomaine par le nom de domaine lié au certificat.
Si un petit symbole de cadenas apparaît dans la barre d'adresse de la page Web, cela signifie que le certificat a été installé avec succès.