[教學] 快快樂樂申請 ssl 憑證 certificate signed by a CA for your domain

certificate signed by a CA for your domain

mac

brew install openssl

ubuntu

apt-get install opensll

當 opensll 安裝好之後，就可以開始建立 key, csr 簽署檔案。

mkdir /etc/ssl/localcerts
cd /etc/ssl/localcerts
openssl req -new -newkey rsa:2048 -nodes -sha256 -days 365 -keyout www.mydomain.com.key -out www.mydomain.com.csr

注意： 要特別注意檔案名稱，通常會建議命名為 domain name 之後會比較容易識別，但不是一定要。 e.g. www.caesarchi.com -> www.caesarchi.com.csr
「重要」，在輸入 Common Name (CN) 的時候，記得輸入 domain name。
e.g. Common Name (e.g. server FQDN or YOUR name) []:www.caesarchi.com

chmod 400 /etc/ssl/localcerts/www.mydomain.com.key

如果是透過線上申請 RapidSSL ， 將 csr 的資料填入，填寫完畢後，會將 crt 所需要的檔案透過 email 送到信箱中。
需要將 xxx.xxx.csr 檔案內容複製，貼上到申請表格中，讓服務商可以產生出來憑證。

將 Intermediate 和 SSL 合成

當取得 crt 檔案之後，會發現有兩筆 crt 分別為

• server.crt
• Intermediate.crt

請將 server.crt 複製到 server 上，並且透過指令將 intermedia.crt 檔案兩者合併。

cat intermediate.crt >> SSL.crt

組合之後，目前簽證也算是告一個段落。但是 crt 檔案，記得將權限修改一下

chmod 400 SSL.crt

將 ssl 設定到 nginx

在原有的 nginx 設定裡面，將剛才 ssl 的 crt, key 的位置設定到 nginx, 設定方式如下，

server {
listen 443;

ssl on;
ssl_certificate /etc/ssl/your_SSL.crt;
ssl_certificate_key /etc/ssl/your_domain_name.key;

server_name your.domain.com;
// ...

}

重新啟動 nginx ，如果設定正確的話，就會發現目前你得 https 開頭的網址可以正確啟動了。

設定 nginx 80 forward 443

因為透過 nginx 設定，網址都可以開始使用 https 開頭，也會開始使用 443 port, 所以在伺服器上如果希望捨棄掉原本的 http ，就需要進行 nginx 的設定，讓使用者都可以直接導向到 https protocal.
設定如下，設定完成後，記得重新啟動 nginx

server {
       listen         80;
       server_name    my.domain.com;
       return         301 https://$server_name$request_uri;
}

參考資料

• In Nginx, how can I rewrite all http requests to https while maintaining sub-domain?
• RapidSSL - Install SSL Certificate
• Installation Instructions for Nginx Server