阿里云ECS服务器https配置实践

一、选择购买赛门铁克的免费 DV证书。

https://common-buy.aliyun.com/?commodityCode=cas#/buy



免费证书仅支持一个域名或子域名，不支持多个或泛解析域名。

二、填写证书需要的相关资料

进入安全（云盾）->证书服务，在我的订单中，看到刚才购买的免费证书，

https://yundun.console.aliyun.com/?p=cas#/cas/home

1）点击右侧的“补全“，输入证书绑定的域名；

2）填写个人信息；



如果域名是在阿里云（万网）申请的，选择DNS时勾选“…自动添加一条CNAME记录…”

3）上传相关信息，推荐选择系统生成CSR，或自己生成CSR；

4）提交审核。

三、下载证书上传到服务器指定位置

1）一般只要按上面操作，做域名验证后即可下载公私钥压缩包。

2）上传至nginx安装目录下的conf，如：

/usr/local/nginx/conf/cert/2140130517202**.key

/usr/local/nginx/conf/cert/2140130517202**.pem

四、配置nginx

1）点击下载时，会进入一个nginx设置帮助页面，复制如下代码：

ssl on;
ssl_certificate cert/2140130517202**.pem;
ssl_certificate_key cert/2140130517202**.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!**4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

2）如果需要全局开启ssl，在nginx.conf文件中的http{}里粘贴以上代码；

3）如果不需要全局开启，则在vhost目录中网站对应的.conf文件的server{}中粘贴以上代码；

4）监听443端口；

在server{}设置如：

listen 443;
server_name www.xxx.com;
index index.html index.htm index.php;
root  /home/wwwroot/xxx;

五、http跳转到https设置

server
{
listen      80;
server_name   vcstock.ju3ban.net;
return      301 https://$server_name$request_uri; }
server
{
#在已有的server外加上对80端口的监听并跳转，如上
}

五、重启服务

service nginx restart