一、前言

由於客戶集團檢查發現很多網站系統都是採用http協議訪問提供網站服務，集團漏洞掃描出來需要對其進行安全加固，需要將系統http改造成https, 確保業務系統不會被攻擊與篡改，現介紹如何將nginx環境配置https協議保證系統能正常訪問。開門見山直接進行https協議改造配置。

二、配置私鑰與證書

2.1 建立私鑰

cd /usr/local/nginx/

mkdir sslkey

openssl genrsa -des3 -out server.key 1024

2.2 生成證書檔案

openssl req -new -key server.key -out server.csr

openssl req -x509 -days 3650 -key server.key -in server.csr > server.crt

說明：3650天表示十年，這是用步驟2.1，2.2的的金鑰和證書請求生成證書server.crt，-days引數指明證書有效期，單位為天，x509表示生成的為X.509證書。以上籤署證書僅僅做測試用，真正執行的時候，應該將CSR傳送到一個CA返回真正的證書。網上有些文件描述生成證書檔案的過程比較繁瑣，就是因為他們自己建立了一個CA中心，然後再簽署server.csr

2.3 用openssl x509 -noout -text -in server.crt 可以檢視證書的內容。證書實際上包含了Public Key