|
|
在Tengine服务器安装证书
, [( R( W& D# K( O) u. Q4 {登录Tengine服务器。8 T# M* l6 P+ y; p6 [
执行以下命令创建证书存放目录。- ^+ k7 o* l% o6 E& j
cd /usr/local/tengine/conf #证书默认安装目录,您可以根据实际配置调整。
7 [$ V9 E% V1 Mmkdir cert #创建证书目录,命名为cert。, C$ o4 w Q1 R: \4 Q6 X. s8 p3 [" V
使用远程登录工具附带的本地文件上传功能,将证书相关文件上传到Tengine服务器的证书目录(示例中为/usr/local/tengine/conf)。
2 k2 T# |' u: L说明 如果您在申请证书时将 CSR生成方式设置为 手动填写,请将您手动创建的证书私钥文件上传至 /usr/local/nginx/conf/cert目录下。
1 g! H3 g6 Q( q% ]# U编辑Tengine配置文件nginx.conf,修改与证书相关的配置。配置内容如下:
% e' g6 ?& o- I+ d) e0 X2 W8 f8 h# HTTPS server
+ u+ S+ J' q/ U2 b: k0 J
' S* n. O( h! ]6 F0 lserver {
7 x! _$ _- u. V3 R# Y" I7 p, M9 u: a6 i4 k listen 443 ssl;3 }' \6 ~) t d, c6 \. {/ X% q
server_name ssl.certqa.cn;
- E/ l+ l2 H/ r% g5 E; k1 z$ r( V2 D# v5 w ? {
# 启用NTLS。Tengine针对BabaSSL中的NTLS功能进行了适配,本文使用BabaSSL作为Tengine的底层密码库来实现通信加密的能力。' R* U: @4 m5 ?
enable_ntls on;
, B5 M) c( G8 {/ d( Z1 A$ s( t; O& `2 l: W- b
# 配置RSA算法证书
: ?7 F& P: n6 P8 U$ O$ H' r ssl_sign_certificate cert / server_rsa.pem;) E# w$ v6 v- c$ b9 Z
ssl_sign_certificate_key cert / server_rsa.key;5 c; D' x) S; b7 d$ h. p
4 [$ n0 q, H, F3 p K # 配置国密算法签名证书
, K) B# h; ~" v% E4 A+ R' d ssl_enc_certificate cert / server_sign.pem;! f( V) {/ S5 w+ W
ssl_enc_certificate_key cert / server_sign.key;
( L0 i) D) r- q6 V$ y4 t+ q3 @. k' Q/ G# h5 C
# 配置国密算法加密证书
/ e; i% x* z# |- J }+ f ssl_certificate cert / server_enc.pem;6 d- x. w: i% d% C
ssl_certificate_key cert / server_enc.key;
. c: m# p1 {* y
# o7 [) T3 w9 h ?8 l ssl_session_cache shared: SSL: 1 m;8 T- o& F+ z" V/ C% _2 Z( ?
ssl_session_timeout 5 m;
8 w& D0 B& T0 ^# t
. j6 {6 l; r# z- |* S5 P l: Y# Q* H # 配置加密套件# ssl_ciphers HIGH: !aNULL: !MD5;
0 X0 l' Z8 t% ^2 B2 }2 W# _ ssl_ciphers ECDHE - RSA - AES128 - GCM - SHA256: AES128 - SHA: DES - CBC3 - SHA: ECC - SM4 - CBC - SM3: ECDHE - SM4 - GCM - SM3: ECC - SM4 - SM3;% Y6 G( P# Y4 l- W. v% b6 q
ssl_prefer_server_ciphers on;
: d' d0 d" F2 g6 y+ l
# F' }4 Q" W' ~* t location / {
# E: C1 T4 k+ H root html; #Web网站程序存放目录。0 o8 n( V7 u3 x6 x; S
index index.html index.htm;- |4 x! R, ^6 k% ]
}* }; J4 y9 U) f4 Y r U
} ^, q/ ~$ X9 P" l. B7 d
- r. `. V2 T: K- t: @5 U1 w' j}' w; M2 O7 _3 ?$ S, k9 }* ^
执行如下命令,重启Tengine服务。
. j8 @% w7 A) C9 H" f& W( L: Kcd /usr/local/tengine/bin #进入Tengine服务的可执行目录。
/ W3 d4 X& P$ J+ l./nginx -s reload #重新载入配置文件。
4 L1 r+ l7 t6 u9 P: w- e+ {* z; q步骤四:验证安装是否成功
" v" e1 n9 z5 i) n6 ^' b证书安装完成后,您可通过访问证书的绑定域名验证该证书是否安装成功。
9 b) D0 \5 O8 [/ q/ {https://yourdomain #需要将yourdomain替换成证书绑定的域名。* A! E5 f" p+ w6 @4 _% D
国密算法证书验证需要使用国密浏览器(例如密信浏览器)测试。证书安装成功效果如下:国密算法! i+ L/ d" G$ f0 I$ N. y
RSA加密算法证书使用Google、Firefox、Edge、360等浏览器测试。证书安装成功效果如下:RSA加密算法
' h$ H/ [2 [: L5 [8 o$ {' O% {+ \1 u6 v0 t6 `
|
|
发表于 2023-2-17 17:30:02