在Nginx服务器上部署双证书

Nginx是一款非常常见的web服务器。本文详细描述如何在Nginx服务器上部署并使用ECC+RSA双SSL（Secure Sockets Layer）证书。

前提条件

• 已安装SSL卸载驱动，如：OpenSSL 1.1.0f及以上版本。
• Nginx 1.11及以后版本支持ECC+RSA双证书，建议使用最新稳定版Nginx Stable version。
• 确保已经获取数字证书。有关获取数字证书方法，可参阅如何获取数字证书。

如何部署

SSL相关配置

按照如下步骤对SSL进行相关配置：

1. 打开Nginx的conf目录下的nginx.conf配置文件，定位以下代码段：

   # HTTPS server
   # #server {
   # listen 443;
   # server_name localhost;
   # ssl on;
   # ssl_certificate cert.pem;
   # ssl_certificate_key cert.key;
   # ssl_session_timeout 5m;
   # ssl_protocols SSLv2 SSLv3 TLSv1;
   # ssl_ciphers 
   ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
   # ssl_prefer_server_ciphers on;
   # location / {
   #}
   #}
   

2. 将以上代码段替换为：

   server {
       listen 443;
       server_name localhost;
       ssl on;
       root html;
       index index.html index.htm;
       ssl_certificate  /xxx/xx/rsa.pem;      #RSA证书路径
       ssl_certificate_key  /xxx/xx/rsa.key;  #RSA证书私钥路径
       ssl_certificate  /xxx/xx/ecc.pem;      #ECC证书路径
       ssl_certificate_key  /xxx/xx/ecc.key； #ECC证书私钥路径
       ssl_session_timeout 5m;
       ssl_ciphers 
       ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
       ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
       ssl_prefer_server_ciphers on;
       location / {
           root html;
           index index.html index.htm;
       }
   }
   

3. 重启Nginx服务器。

强制HTTP跳转HTTPS （可选）

为了将用户默认的HTTP请求自动跳转为HTTPS请求，打开nginx.conf配置文件，添加如下代码：

return 301 https://$host$request_uri;

注意：上述步骤需重启后生效。

更多信息

你已成功完成SSL证书部署。如果要对所部署的网站进行安全监测，参阅MySSL的使用。