Chrome 浏览器地点栏标识表记标帜着 HTTPS 的绿色小锁头从心理层面上可以给用户专业安适的心理体现，本文简单总结一下如安在 Nginx 配置 HTTPS 处事器，让本身站点上『绿锁』。

Nginx 配置 HTTPS 并不庞大，主要有两个法式：签署第三方可信任的 SSL 证书 和 配置 HTTPS

签署第三方可信任的 SSL 证书 关于 SSL 证书

有关 SSL 的介绍可以参阅维基百科的传输层安适协议和阮一峰先生的 《SSL/TLS协议运行机制的概述》。

SSL 证书主要有两个成果：加密和身份证明，凡是需要采办，也有免费的，通过第三方 SSL 证书机构公布，常见可靠的第三方 SSL 证书公布机构有下面几个：

StartCom 机构上的 SSL 证书有以下几种：

企业级别：EV(Extended Validation)、OV(Organization Validation)

小我私家级别：IV(Identity Validation)、DV（Domain Validation）

此中 EV、OV、IV 需要付费

免费的证书安适认证级别一般对照低，不显示单位名称，不能证明网站的真实身份，仅起到加密传输信息的感化，适合小我私家网站或非电商网站。由于此类只验证域名所有权的低端 SSL 证书已经被国外各类欺诈网站滥用，因此强烈保举部署验证单位信息并显示单位名称的 OV SSL 证书或申请最高信任级另外、显示绿色地点栏、直接在地点栏显示单位名称的 EV SSL 证书，就仿佛 StarCom 的地点栏一样：

更多关于采办 SSL 证书的介绍：SSL 证书处事，大家用哪家的？、DV免费SSL证书

使用 OpenSSL 生成 SSL Key 和 CSR 文件

配置 HTTPS 要用到私钥 example.key 文件和 example.crt 证书文件，申请证书文件的时候要用到 example.csr 文件，OpenSSL 命令可以生成 example.key 文件和 example.csr 证书文件。

CSR：Cerificate Signing Request，证书签署请求文件，里面包罗申请者的 DN（Distinguished Name，标识名）和公钥信息，在第三方证书公布机构签署证书的时候需要供给。证书公布机构拿到 CSR 后使用其根证书私钥对证书进行加密并生成 CRT 证书文件，里面包罗证书加密信息以及申请者的 DN 及公钥信息

Key：证书申请者私钥文件，和证书里面的公钥配对使用，在 HTTPS 『握手』通讯过程需要使用私钥去解密客戶端发來的颠末证书公钥加密的随机数信息，是 HTTPS 加密通讯过程非常重要的文件，在配置 HTTPS 的時候要用到

使用 OpenSSl命令可以在系统当前目录生成 example.key 和 example.csr 文件：

1

 

openssl req -new -newkey rsa:2048 -sha256 -nodes -out example_com.csr -keyout example_com.key -subj "/C=CN/ST=ShenZhen/L=ShenZhen/O=Example Inc./OU=Web Security/CN=example.com"

 

下面是上述命令相关字段含义：

C：Country ，单位地址国家，为两位数的国家缩写，如： CN 就是中国

ST 字段： State/Province ，单位地址州或省

L 字段： Locality ，单位地址都市 / 或县区

O 字段： Organization ，此网站的单位名称;

OU 字段： Organization Unit，部属部门名称;也每每用于显示其他证书相关信息，如证书类型，证书产品名称或身份验证类型或验证内容等;

CN 字段： Common Name ，网站的域名;

生成 csr 文件后，供给给 CA 机构，签署告成后，就会得到一個 example.crt 证书文件，SSL 证书文件获得后，就可以在 Nginx 配置文件里配置 HTTPS 了。

配置 HTTPS 根本配置

要开启 HTTPS 处事，在配置文件信息块(server block)，必需使用监听命令 listen 的 ssl 参数和界说处事器证书文件和私钥文件，如下所示：

1

2

3

4

5

6

7

8

9

10

11

12

 

server {

#ssl参数

listen 443 ssl;

server_name example.com;

#证书文件

ssl_certificate example.com.crt;

#私钥文件

ssl_certificate_key example.com.key;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers HIGH:!aNULL:!MD5;