|
|
在Tengine服务器安装证书/ D3 i$ e; E# n3 x" c/ }. V: \ q
登录Tengine服务器。
' h! Q4 k4 t8 q K1 ]执行以下命令创建证书存放目录。
9 x9 x. z& e0 o: a( o2 Pcd /usr/local/tengine/conf #证书默认安装目录,您可以根据实际配置调整。 V8 d+ U" S4 J6 C
mkdir cert #创建证书目录,命名为cert。3 G$ s$ x% a! h& ^( z4 C4 w
使用远程登录工具附带的本地文件上传功能,将证书相关文件上传到Tengine服务器的证书目录(示例中为/usr/local/tengine/conf)。" E" j( Z2 g0 R) H% T- c8 ^' }
说明 如果您在申请证书时将 CSR生成方式设置为 手动填写,请将您手动创建的证书私钥文件上传至 /usr/local/nginx/conf/cert目录下。
6 X7 S2 M8 q( p% y编辑Tengine配置文件nginx.conf,修改与证书相关的配置。配置内容如下:0 O) e! |/ W- v0 T" N5 O
# HTTPS server; l$ C# ` ~' ^% K' n& H1 W% |" j
^# C$ U* |5 wserver {. c& [" G/ R" t' k
listen 443 ssl;
7 ~; z0 @6 m/ d# D3 {( q server_name ssl.certqa.cn;
& e/ @5 E, l( U
x$ t1 b0 x# }2 F2 i # 启用NTLS。Tengine针对BabaSSL中的NTLS功能进行了适配,本文使用BabaSSL作为Tengine的底层密码库来实现通信加密的能力。2 p6 _; i$ D% R2 T p
enable_ntls on;% c% f$ E8 }( `9 G: l5 ^
5 V U# g1 s- B D d # 配置RSA算法证书* s3 |+ F# k! p' X; I! O
ssl_sign_certificate cert / server_rsa.pem;! f v/ G: Y3 z7 b- }+ Y
ssl_sign_certificate_key cert / server_rsa.key;
7 y, {/ u; ^* b6 t; _* F0 A; h. ]4 ?
# 配置国密算法签名证书
# K" _: q1 d9 d m ssl_enc_certificate cert / server_sign.pem;- H8 k! x i# @
ssl_enc_certificate_key cert / server_sign.key;
) M' Q3 g3 V. w6 ?
8 @( D. u- Z4 h I% a # 配置国密算法加密证书 / \% ?% O- Z+ h& e4 e
ssl_certificate cert / server_enc.pem;
# ]& U8 p1 ]0 O2 R8 e% j# |+ Y ssl_certificate_key cert / server_enc.key; 6 s/ V$ M7 v4 B: _- ~) Y: n
5 P. o! X! h# C: c
ssl_session_cache shared: SSL: 1 m;
9 J: A' |( \: x5 a ssl_session_timeout 5 m;
7 O& e; |) Z! H: c+ R& [8 J$ D& m$ f0 U1 b" t1 @8 s
# 配置加密套件# ssl_ciphers HIGH: !aNULL: !MD5;6 h" N6 x# h! r
ssl_ciphers ECDHE - RSA - AES128 - GCM - SHA256: AES128 - SHA: DES - CBC3 - SHA: ECC - SM4 - CBC - SM3: ECDHE - SM4 - GCM - SM3: ECC - SM4 - SM3;* b$ D7 D1 ?4 b5 n6 T0 ?, t
ssl_prefer_server_ciphers on;
. [ ]- I. | X6 i5 B- K b8 |' ~
$ W: z2 ~8 q6 C6 H* P. ~" F, Z7 [ location / {
V. ^, g, t( s- ^. c root html; #Web网站程序存放目录。
) j" a( ^# S2 L7 [ index index.html index.htm;5 X! C2 j5 D" Q0 B5 x; a- n5 I
}* x4 n* y( x. ~+ V. O
}
& ^3 U2 ]% g Z: g: \7 z, d% s* `! S% P" z3 O$ t8 p
}
& k: P4 P5 }4 k+ L! o: f执行如下命令,重启Tengine服务。
% l* {. j/ z* F/ |( scd /usr/local/tengine/bin #进入Tengine服务的可执行目录。
5 R. `1 `( z# |4 [: J./nginx -s reload #重新载入配置文件。9 A6 B$ Z% y1 R2 ~, f
步骤四:验证安装是否成功
3 @3 D/ c1 {" B1 Z/ C证书安装完成后,您可通过访问证书的绑定域名验证该证书是否安装成功。
, D, l" g* T) C8 n$ C' q$ o" {) }8 K4 M; Uhttps://yourdomain #需要将yourdomain替换成证书绑定的域名。
- r5 o& n+ z/ D; U" p国密算法证书验证需要使用国密浏览器(例如密信浏览器)测试。证书安装成功效果如下:国密算法
v ]; c7 n) S8 {RSA加密算法证书使用Google、Firefox、Edge、360等浏览器测试。证书安装成功效果如下:RSA加密算法
0 Z+ J) y6 l7 ~0 O) d, P% a, d( D, G8 c/ _8 k( b6 b" |
|
|
发表于 2023-2-17 17:30:02