wdcp面板扩展https证书

根据公司的要求,就给我的网站自己制作了一个免费的ssl证书

我们公司的服务器环境是一个wdcp2.5的集成环境

1.1 wdcp面板扩展https证书     

1.1.1 HTTPS 是什么？

  超文本传输安全协议（缩写：HTTPS，英语：Hypertext Transfer Protocol Secure）是超文本传输协议和SSL/TLS的组合，用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。HTTPS不应与在RFC 2660中定义的安全超文本传输协议（S-HTTP）相混。

HTTPS 目前已经是所有注重隐私和安全的网站的首选，随着技术的不断发展，HTTPS 网站已不再是大型网站的专利，所有普通的个人站长和博客均可以自己动手搭建一个安全的加密的网站。

  如果一个网站没有加密，那么你的所有帐号密码都是明文传输。可想而知，如果涉及到隐私和金融问题，不加密的传输是多么可怕的一件事。

1.1.2 Wdcp面板扩展步骤

1.1.2.1  进入到nginx的配置文件里

[root@4t34g ~]# cd /www/wdlinux/nginx/conf/

1.1.2.2  查看当前目录下的文件

[root@4t34g conf]# ls
fastcgi.conf          fastcgi_params.default  koi-win             naproxy.conf          nginx.conf.default  scgi_params.default   vhost
fastcgi.conf.default  fcgi.conf               mime.types          nginx.conf            rewrite             uwsgi_params          win-utf
fastcgi_params        koi-utf                 mime.types.default  nginx.conf2017050809  scgi_params         uwsgi_params.default

1.1.3 使用 OpenSSL 生成 SSL Key 和 CSR

由于只有浏览器或者系统信赖的 CA 才可以让所有的访问者通畅的访问你的加密网站，而不是出现证书错误的提示。所以我们跳过自签证书的步骤，直接开始签署第三方可信任的 SSL 证书吧。

OpenSSL 在 Linux、OS X 等常规的系统下默认都安装了，因为一些安全问题，一般现在的第三方 SSL 证书签发机构都要求起码 2048 位的 RSA 加密的私钥。

同时，普通的 SSL 证书认证分两种形式，一种是 DV（Domain Validated），还有一种是 OV （Organization Validated），前者只需要验证域名，后者需要验证你的组织或公司，在安全性方面，肯定是后者要好。

无论你用 DV 还是 OV 生成私钥，都需要填写一些基本信息，这里我们假设如下：

域名，也称为 Common Name，因为特殊的证书不一定是域名：example.com

组织或公司名字（Organization）：beijingqudaosujianwangluo(lao)kejigongsi

部门（Department）：可以不填写，这里我们写 fuwuqiyunwei

城市（City）：Beijing

省份（State / Province）：Beijing

国家（Country）：CN

加密强度：2048 位，如果你的机器性能强劲，也可以选择 4096 位

按照以上信息，

1.1.3.1  使用 OpenSSL 生成 key 和 csr 的命令如下curl.cnnjidc.com

[root@4t34g conf]# openssl req -new -newkey rsa:2048 -sha256 -nodes -out curl.cnnjidc.com.csr -keyout curl.cnnjidc.com.key -subj "/C=CN/ST=Beijing/L=Beijing/O=beijingqudaosujianwangluo(lao)kejigongsi/OU=fuwuqiyunwei/CN=curl.cnnjidc.com" 
Generating a 2048 bit RSA private key
.............+++
..................+++
writing new private key to 'curl.cnnjidc.com.key'
-----
[root@4t34g conf]# ls
curl.cnnjidc.com.csr  fastcgi_params          koi-win             nginx.conf            scgi_params           vhost
curl.cnnjidc.com.key  fastcgi_params.default  mime.types          nginx.conf2017050809  scgi_params.default   win-utf
fastcgi.conf          fcgi.conf               mime.types.default  nginx.conf.default    uwsgi_params
fastcgi.conf.default  koi-utf                 naproxy.conf        rewrite               uwsgi_params.default

PS：如果是泛域名证书，则应该填写 *.curl.cnnjidc.com

你可以在系统的任何地方运行这个命令，会自动在当前目录生成 curl.cnnjidc.com.csr 和 example_com.key这两个文件

1.1.3.2  接下来你可以查看一下 curl.cnnjidc.com.csr，得到类似这么一长串的文字

[root@4t34g conf]# cat curl.cnnjidc.com.csr
-----BEGIN CERTIFICATE REQUEST-----
MIIC3DCCAcQCAQAwgZYxCzAJBgNVBAYTAkNOMRAwDgYDVQQIDAdCZWlqaW5nMRAw
DgYDVQQHDAdCZWlqaW5nMTEwLwYDVQQKDChiZWlqaW5ncXVkYW9zdWppYW53YW5n
bHVvKGxhbylrZWppZ29uZ3NpMRUwEwYDVQQLDAxmdXd1cWl5dW53ZWkxGTAXBgNV
BAMMEGN1cmwuY25uamlkYy5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK
AoIBAQC/W641xWELb8m0jIo3oj+mI6NacykzalUeNhURfJIHko2MEJSd/Y72Aman
1VK+6oj95y7iKovESgwJesRitzdL4tf/3otaq5BWM92mcXVNEfs17YxpZJ3Ud4WS
h3s4DFYdN3lj5GM/Hbz4eLXrCrzVHLnhJSXR1z8flU27ahmGX2bFVM44Ma72E0GK
MCh2wpGjuzp9tgM4p/3RN/JGiWOHUt93pwtp9nFrA4Y7KMakki/MrHSTBbyglQRV
uxmps342c4SyqZBq3Ayhs3WJxtxoSKQw2mDIQgIJPRWmmBsYgk9ooyXL1ibyPHKz
JuHVizCCPhv53BFCiiWGEnWX6U6FAgMBAAGgADANBgkqhkiG9w0BAQsFAAOCAQEA
q/2KHWBUf6lzmCYD7TD5TtU4y9H//uAumXjvMG5QqNE7JprCI8Ksx2XdHGzYZvyV
ix/Bgla2rsjjauVzbyBIdGOnUMECL8+NUhCu/i6cPjVa4UdWpMtcSe7yLrRJZ850
R2Lp5vYyd7d0t+PObyIuIZgFFdPsjtblcXHTz/HrILiV2/eWXjmLHemlrqUnpeXV
nA/v3X3r1VdF5EkoR94cCB/fDPABbLv6dZxegWF0Ktglj9jjwuPXM0Jqojd7HG0O
fvsgFpagUfhX++nXgR8YMEPZh5MA7g0akMy9qqMmFCDwE4z1Eh+p/0HjL+xq5p4k
vsr7y6jG0ErbQLNDULPN9A==
-----END CERTIFICATE REQUEST-----

1.1.3.3  CSR 文件就是你需要提交给 SSL 认证机构

这个 CSR 文件就是你需要提交给 SSL 认证机构的，当你的域名或组织通过验证后，认证机构就会颁发给你一个 example_com.crt
认证机构的工具网址：
https://www.chinassl.net/ssltools/free-ssl.html
而 example_com.key 是需要用在 Nginx 配置里和 example_com.crt 配合使用的，需要好好保管，千万别泄露给任何第三方

1.1.3.4  在上传认证过的文件

是用rz命令

1.1.3.5  在修改网站的配置文件

[root@4t34g vhost]# ls
00000.default.conf  curl.cnnjidc.com.conf
[root@4t34g vhost]# vim curl.cnnjidc.com.conf
server {
        #listen       80;
        listen 443 ssl;
        server_name curl.cnnjidc.com curl.cnnjidc.com;
        root /www/wwwroot/curl_cnnjidc_com/public_html;
         if (-f $request_filename/index.html){
        rewrite (.*) $1/index.html break;
          }
       if (-f $request_filename/index.php){
        rewrite (.*) $1/index.php;
        }
        if (!-f $request_filename){
        rewrite (.*) /index.php;
        }
        index  index.html index.php index.htm;
        error_page  400 /errpage/400.html;
        error_page  403 /errpage/403.html;
        error_page  404 /errpage/404.html;
        error_page  405 /errpage/405.html;
         ssl on;
        ssl_certificate_key  /www/wdlinux/nginx/conf/curl.cnnjidc.com.key;
        ssl_certificate  /www/wdlinux/nginx/conf/curl.cnnjidc.com_ssl.crt;
 
       if ($server_port !~ 443){
        rewrite ^/.*$ https://$host$uri;
    }
 
        location ~ \.php$ {
                proxy_pass http://127.0.0.1:88;
                include naproxy.conf;
        }
        location / {
                try_files $uri @apache;
        }
        location @apache {
                 proxy_pass http://127.0.0.1:88;
                 include naproxy.conf;
        }
}

1.1.3.6  在自定义(这个文件不是很重要，可要在上一级修改)一个301的配置文件

[root@4t34g vhost]# vim 301.conf
server {
        listen          80;
        server_name     curl.cnnjidc.com;
 
        if ($host = 'curl.cnnjidc.com' ) {
        rewrite ^/(.*)$ https://curl.cnnjidc.com/$1 permanent;
    }
}

1.1.3.7  重新加载nginx服务

[root@4t34g vhost]# service nginxd reload
nginx: the configuration file /www/wdlinux/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /www/wdlinux/nginx/conf/nginx.conf test is successful
Reloading nginx:

1.1.3.8  开放https的端口号443

[root@4t34g vhost]# iptables -I INPUT -p tcp --dport 443 -j ACCEPT
[root@4t34g vhost]# /etc/rc.d/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
[root@4t34g vhost]# /etc/init.d/iptables restart
iptables: Setting chains to policy ACCEPT: filter nat mangl[  OK  ]
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Unloading modules:                               [  OK  ]
iptables: Applying firewall rules:                         [  OK  ]

1.1.3.9  在验证效果

打赏 支付宝打赏 微信打赏