[教學] 快快樂樂申請 ssl 憑證 certificate signed by a CA for your domain

certificate signed by a CA for your domain

mac

`brew install openssl`
### ubuntu
`apt-get install opensll`
當 opensll 安裝好之後,就可以開始建立 key, csr 簽署檔案。
`mkdir /etc/ssl/localcerts

cd /etc/ssl/localcerts

openssl req -new -newkey rsa:2048 -nodes -sha256 -days 365 -keyout www.mydomain.com.key -out www.mydomain.com.csr`
注意: 要特別注意檔案名稱,通常會建議命名為 domain name 之後會比較容易識別,但不是一定要。 e.g. www.caesarchi.com -> www.caesarchi.com.csr 「重要」,在輸入 Common Name (CN) 的時候,記得輸入 domain name。 e.g. Common Name (e.g. server FQDN or YOUR name) []:www.caesarchi.com
`chmod 400 /etc/ssl/localcerts/www.mydomain.com.key`
如果是透過線上申請 RapidSSL , 將 csr 的資料填入,填寫完畢後,會將 crt 所需要的檔案透過 email 送到信箱中。 需要將 `xxx.xxx.csr` 檔案內容複製,貼上到申請表格中,讓服務商可以產生出來憑證。 ### 將 Intermediate 和 SSL 合成 當取得 crt 檔案之後,會發現有兩筆 crt 分別為 - server.crt - Intermediate.crt 請將 server.crt 複製到 server 上,並且透過指令將 intermedia.crt 檔案兩者合併。
`cat intermediate.crt >> SSL.crt`
組合之後,目前簽證也算是告一個段落。但是 crt 檔案,記得將權限修改一下
`chmod 400 SSL.crt`

將 ssl 設定到 nginx

在原有的 nginx 設定裡面,將剛才 ssl 的 crt, key 的位置設定到 nginx, 設定方式如下,

`server {

listen 443;



ssl on;

ssl_certificate /etc/ssl/your_SSL.crt;

ssl_certificate_key /etc/ssl/your_domain_name.key;



server_name your.domain.com;

// ...



}`
重新啟動 nginx ,如果設定正確的話,就會發現目前你得 https 開頭的網址可以正確啟動了。 ## 設定 nginx 80 forward 443 因為透過 nginx 設定,網址都可以開始使用 https 開頭,也會開始使用 443 port, 所以在伺服器上如果希望捨棄掉原本的 http ,就需要進行 nginx 的設定,讓使用者都可以直接導向到 https protocal. 設定如下,設定完成後,記得重新啟動 nginx
`server {

listen 80;

server_name my.domain.com;

return 301 https://$server_name$request_uri;

}`

參考資料

CaesarChi

Web developer, focus on website fullstack, special JavaScript, and love sharing developing experience and communicate with developers. http://about.me/clonn