SSL证书部署

一、Nginx证书部署

1、解压已下载保存到本地的Nginx证书文件。
解压后的文件夹中有2个文件：
私钥文件：以.key为后缀或文件类型。
证书文件：以.crt为后缀或文件类型。

2、在Nginx的conf目录下创建cert目录，将解压后的私钥文件和证书文件上传到 cert目录中。

3、修改nginx.conf配置文件
在/usr/local/nginx/conf/nginx.conf中定位到HTTPS server属性配置并参考如下示例进行修改。

server {
     #HTTPS的默认访问端口443。
     #如果未在此处配置HTTPS的默认访问端口，可能会造成Nginx无法启动。
     listen 443 ssl;
     #填写证书绑定的域名。多域名配置示例：server_name www.baidu1.com www.baidu2.com www.baidu3.com;
     server_name <YOURDOMAIN>;
     #填写证书文件绝对路径
     ssl_certificate cert/<cert-file-name>.pem;
     #填写证书私钥文件绝对路径
     ssl_certificate_key cert/<cert-file-name>.key;
     ssl_session_cache shared:SSL:1m;
     ssl_session_timeout 5m;
     #自定义设置使用的TLS协议的类型以及加密套件（以下为配置示例，请您自行评估是否需要配置）
     #TLS协议版本越高，HTTPS通信的安全性越高，但是相较于低版本TLS协议，高版本TLS协议对浏览器的兼容性较差。
     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
     ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
     #表示优先使用服务端加密套件。默认开启
     ssl_prefer_server_ciphers on;
     location / {
         root html;
         index index.html index.htm;
     }
}

4、执行以下命令，重启Nginx服务。

nginx -s reload

5、验证ssl证书是否配置成功
证书安装完成后，您可以通过访问证书绑定的域名验证该证书是否安装成功。如果网页地址栏如下图所示，表示证书已经安装成功。

二、Apache证书部署

1、解压已下载保存到本地的Apache证书文件。
解压后的文件夹中有3个文件：
私钥文件：以.key为后缀或文件类型。
证书链文件：以.crt为后缀或文件类型。
证书文件：以.crt为后缀或文件类型。

2、在Apache服务器的安装目录下创建cert目录，将解压后的私钥文件、证书文件和证书链文件上传到 cert目录中。
修改httpd.conf配置文件，在Apache安装目录下打开Apache/conf/httpd.conf文件，并找到以下参数，按照下文中注释内容进行配置

#LoadModule ssl_module modules/mod_ssl.so #删除行首的配置语句注释符号“#”加载mod_ssl.so模块启用SSL服务，Apache默认是不启用该模块的。
#Include conf/extra/httpd-ssl.conf #删除行首的配置语句注释符号“#”。

说明：如果您在httpd.conf文件中没有找到以上配置语句，请确认您的Apache服务器中是否已经安装mod_ssl.so模块。可执行yum install -y mod_ssl命令安装mod_ssl模块。

4、修改http-ssl.conf配置文件
打开Apache/conf/extra/httpd-ssl.conf文件并找到以下参数，按照下文中注释内容进行配置。

说明：根据操作系统的不同，http-ssl.conf文件也可能存放在conf.d/ssl.conf目录中。

<VirtualHost *:443>
ServerName #修改为申请证书时绑定的域名www.baidu1.com。
DocumentRoot /data/www/hbappserver/publicSSLEngineonSSLProtocolall-SSLv2 -SSLv3 # 添加SSL协议支持协议，去掉不安全的协议。
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM # 修改加密套件。
SSLHonorCipherOrderonSSLCertificateFile cert/domainname1_public.crt # 将domainname1_public.crt替换成您证书文件名。
SSLCertificateKeyFile cert/domainname1.key # 将domainname1.key替换成您证书的密钥文件名。
SSLCertificateChainFile cert/domainname1_chain.crt # 将domainname1_chain.crt替换成您证书的密钥文件名；证书链开头如果有#字符，请删除。
</VirtualHost>

说明：如果证书包含多个域名，复制以上参数，并将ServerName替换成第二个域名。

5、在Apache的bin目录下执行以下命令，重启Apache服务

#停止Apache服务。
apachectl -kstop
#开启Apache服务。
apachectl -kstart

6、验证ssl证书是否配置成功

证书安装完成后，您可以通过访问证书绑定的域名验证该证书是否安装成功。如果网页地址栏如下图所示，表示证书已经安装成功。

三、IIS证书部署

1、解压已下载保存到本地的IIS证书文件。
证书文件：以.pfx为后缀或文件类型。
证书密码文件：以.txt为后缀或文件类型。

2、将解压后的证书文件、证书密码文件上传到IIS服务器

3、IIS服务器证书配置
双击IIS上面服务器证书

选择导入

导入对应证书，输入证书对应密码，其它默认

对应网站上选择绑定

选择添加

选择https，然后对应的网站，这里拿xunwangyun.com和www.xunwangyun.com为例，如果是绑定两个的话就需要添加两次，一次是xunwangyun.com的绑定SSL证书

另外一次是www.xunwangyun.com的绑定SSL证书（如果是其他二级域名的话，绑定一次就行）

SSL设置，把要求SSL勾选上即可

2、验证ssl证书是否配置成功

证书安装完成后，您可以通过访问证书绑定的域名验证该证书是否安装成功。如果网页地址栏如下图所示，表示证书已经安装成功。