如何手动安装证书 SSL 当我们有一个没有 cPanel 的托管网站时，该网站非常有用 / VestaCP. 教程 用于 NGINX 并且需要“root”访问权限来配置 HTTPS.

我在说 上个月的文章 随着越来越多的网站转向 安全连接 HTTPS 和 火狐Quantum 是第一个启动红帽子HTTP站点的用户不安全的浏览器。
撇开已经开始在许多人的脑海中扎根的想法不谈，例如没有网站的网站 HTTPS 将是不安全的并且充满病毒，并且那些 HTTPS 它们像眼泪一样纯洁（顺便说一句，这是一个完全错误的想法），许多 administrator并且服务器和站点被迫从 HTTP 到协议进行相同的转换 HTTPS.
从移动 HTTP 协议在 HTTPS 涉及买一个 证书 SSL 或使用项目免费提供的证书 让我们加密, 购买证书后 SSL它应该是 安装在服务器上进而 网站配置 为 从 http:// 到的过渡 https:/ /.

如何手动安装证书 SSL (HTTPS 连接）用于托管在没有 cPanel 的 NGINX 服务器上的网站或 VestaCP

让我们一步一步看如何安装证书 SSL 在带有 NGINX 的服务器上.

用户 的cPanel 或 VestaCP 他们在他们的指尖可以在管理界面专门的领域，他们可以放置和安装 证书 SSL。 对于只有可用的用户 命令行 从他的服务器控制台 SSH的，事情变得复杂一点。 他将不得不这样做 上传到证书 si 配置NGINX 为 从 HTTP 切换到 HTTPS.

1.生成CSR（证书签名请求）

您登录到托管您要激活的网站的服务器 HTTPS 并执行下一个命令行。 最好在/etc/nginx/ssl.

openssl req -new -newkey rsa:2048 -nodes -keyout numedomeniu.key -out numedomeniu.csr

最好是文件的名称 .key 和 。crt 放置您要使用它们的域名。 如果随着时间的推移您会使用几个，请知道哪个以及它来自哪里。
最后，在执行命令行的文件夹中，您将获得两个文件。 domainname.csr和domainname.key，

2. 购买证书 SSL 并获取 .crt 和 .ca-bundle 文件.

在我们的情况下，我买了 积极的SSL 多域证书 德拉 COMODO通过 NAMECHEAP.COM. 购买过程结束后，您将收到一封电子邮件，您必须在其中激活证书 SSL. 在验证请求中输入使用证书的域名和表单中包含的其他数据。 它也会要求您输入 CSR守则 上面产生的。 您显然可以在“ domainname.csr”文件中找到它。 跑 ”猫numedomeniu.csr”能够复制内容。
最后你会被要求去做 域名验证 为此使用证书。 你有更多 验证方法。 最简单最快的一个就是一个 电子邮件地址由域名制成.
通过此步骤后，几分钟后您应该会收到一封电子邮件，其中附有包含两个文件的存档。  证书 SSL （例如 113029727.crt）和类似 113029727.ca-bundle 的文件。

• 如何移动博客或网站 WordPress 从 HTTP 开始 HTTPS (Nginx)
• 认证证书 TLS / SSL - 从 2020 年 XNUMX 月起实施新的有效期限制
• 我们如何添加管理员用户 WordPress 如果我们无权访问仪表板或 SQL
• 删除旧域 Certbot certificates （让我们加密证书）
• 如何修复 nginx： [warn] “ssl”指令已弃用（Nginx / VestaCP)

3、通过FTP/SFTP上传证书文件到服务器。

将第 2 点的文件上传到与第 1 点相同的位置的服务器，并将文件的内容：domainname.csr 和 113029727.ca-bundle 合并到一个文件中。 例如， ssl-domain.crt.
最后，在新创建的文件中， ssl-domain.crt 必须有 三个证书代码，第一个在文件中 113029727.crt.

4.配置NGINX HTTPS – 添加证书 SSL.

下一步骤是将 为 NGINX 配置 HTTPS.
假设您已经将其配置为HTTP，则只需将以下行添加到域的nginx配置文件即可：

server {
listen 80;
server_name numedomeniu.tld www.numedomeniu.tld;
rewrite ^ https://$server_name$request_uri permanent;
}

server {
 listen 443 ssl;
 server_name numedomeniu.tld www.numedomeniu.tld;
 ssl on;
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
 ssl_certificate /etc/nginx/ssl/ssl-domeniu.crt;
 ssl_certificate_key /etc/nginx/ssl/numedomeniu.key;
 ssl_prefer_server_ciphers on;

上线“ssl_certificate“和”ssl_certificate_key“你必须通过 服务器中的确切路径 到两个文件。 该行“rewrite是要做的 从 http 永久重定向到 https，因此不存在在 HTTP 上存在重复站点的风险，并且 HTTPS.

5. NGINX config检查并手动安装证书后重启 SSL

在重新启动 nginx 服务之前，最好检查一个 nginx.conf.

nginx -t

如果nginx测试结果一切正常，重启服务。

systemctl restart nginx

或

service nginx restart

根据您在网站上使用的 CMS： WordPress、Drupal、Magento、Joomla、Prestashop 等 CMS，您需要配置数据库和其他文件才能拥有有效的网站 HTTPS.
如果我们说你的网页中有一张路径以“http://”开头的图片，那么该页面将无效 HTTPS，并且指示器锁定将不会出现在 Web 浏览器的地址栏中。