|
|
在Tengine服务器安装证书9 H( j8 z6 b; K9 H# g) u
登录Tengine服务器。- _8 V6 ^! ^; @
执行以下命令创建证书存放目录。* o2 J+ R+ ~& y% k |3 B
cd /usr/local/tengine/conf #证书默认安装目录,您可以根据实际配置调整。( J! f o. H( G
mkdir cert #创建证书目录,命名为cert。
8 n: }% H1 W0 l9 s4 _' K4 r5 r使用远程登录工具附带的本地文件上传功能,将证书相关文件上传到Tengine服务器的证书目录(示例中为/usr/local/tengine/conf)。
. m- H: {$ P3 w0 I2 p+ u- a2 V说明 如果您在申请证书时将 CSR生成方式设置为 手动填写,请将您手动创建的证书私钥文件上传至 /usr/local/nginx/conf/cert目录下。0 |( @* B; H- K/ O
编辑Tengine配置文件nginx.conf,修改与证书相关的配置。配置内容如下:. e9 g5 Z9 X8 e1 F0 ~0 D5 [
# HTTPS server
" H, Y0 A5 I7 Q) a/ T; T
3 @9 ]. l% R: {1 l2 ^server {0 a' F/ E, x$ P: u+ {
listen 443 ssl;
- b0 ?! L: w7 Y5 {6 a' ^ W server_name ssl.certqa.cn;3 r- R# F7 |! L6 a
1 c2 C- y9 C! L7 V+ R
# 启用NTLS。Tengine针对BabaSSL中的NTLS功能进行了适配,本文使用BabaSSL作为Tengine的底层密码库来实现通信加密的能力。% ~# ~+ V N: ?% z
enable_ntls on;
& v+ [. h- S6 X# l/ z% X0 h S7 R( t# M
# 配置RSA算法证书; U2 M; i2 U3 {4 G c
ssl_sign_certificate cert / server_rsa.pem;5 D" S' \5 D' m- ~+ o
ssl_sign_certificate_key cert / server_rsa.key;2 B( ?0 c5 l" L- `; n- v! Y( d+ m ]
' i" C' `. n, ]9 l) N
# 配置国密算法签名证书 $ n; _* H4 |, \
ssl_enc_certificate cert / server_sign.pem;$ f4 r- L" N; F1 s- @% q9 ]
ssl_enc_certificate_key cert / server_sign.key;2 k6 b4 z& X: y9 ^
X- a. j- v/ @; i: z # 配置国密算法加密证书
% G" e5 c/ X0 B4 ` v& M ssl_certificate cert / server_enc.pem;
% [# i+ ^+ R$ i M, W* Q ssl_certificate_key cert / server_enc.key;
; H1 i4 d( A/ y* o. s* N
|1 g/ g" {6 a: e% f ssl_session_cache shared: SSL: 1 m;
: }3 C; D) T$ H t4 j! V ssl_session_timeout 5 m;
% Q$ d+ ]9 }: \0 z" L
" z, O5 f# J2 L # 配置加密套件# ssl_ciphers HIGH: !aNULL: !MD5;
4 p, P4 |( A I7 R8 C ssl_ciphers ECDHE - RSA - AES128 - GCM - SHA256: AES128 - SHA: DES - CBC3 - SHA: ECC - SM4 - CBC - SM3: ECDHE - SM4 - GCM - SM3: ECC - SM4 - SM3;7 e- Y% Q; D1 ^) d. c: F) z
ssl_prefer_server_ciphers on;) |$ v- z+ O0 U7 r7 S* h) }) J6 S! s
- \4 Y6 O! q* q8 B
location / {2 e% H8 {+ l( B0 H- _
root html; #Web网站程序存放目录。
4 P% i/ J2 `% W index index.html index.htm;
6 O5 _# T2 I: M4 ], D4 L }8 `1 J$ h! E& v
}
3 q0 U+ h$ ]6 l M2 ~
z1 Y+ W7 n `3 [+ r! ~}' z9 `: I# z) |/ R i5 B& ?' |
执行如下命令,重启Tengine服务。& q9 Y& o4 s2 I
cd /usr/local/tengine/bin #进入Tengine服务的可执行目录。6 U( T4 m! l+ }2 L2 ]
./nginx -s reload #重新载入配置文件。
3 K; @( ~1 Y9 c. w) b& W% O步骤四:验证安装是否成功% F0 ^8 u3 o7 w7 ?
证书安装完成后,您可通过访问证书的绑定域名验证该证书是否安装成功。, B$ g$ r/ u: ~5 i8 i1 R3 u1 [
https://yourdomain #需要将yourdomain替换成证书绑定的域名。
$ J; [: n* h* I) U% z( V! d国密算法证书验证需要使用国密浏览器(例如密信浏览器)测试。证书安装成功效果如下:国密算法, q8 x' n- Z+ W$ ^
RSA加密算法证书使用Google、Firefox、Edge、360等浏览器测试。证书安装成功效果如下:RSA加密算法
7 v! k) U" k' @7 i6 l: \
) u6 S; b! z9 F" B |
|
发表于 2023-2-17 17:30:02