当前位置：首页 > wzjs >正文

网站建设与管理书籍360网站托管

wzjs 2025/9/10 12:12:15

网站建设与管理书籍,360网站托管,平面设计职业规划,server2008 wordpress以下是针对 sztu.edu.cn 域名的 SSL 证书配置指南： 一、证书文件准备假设你已有以下文件： 私钥文件：sztu.edu.cn.key证书文件：sztu.edu.cn.pem（需确认是否包含完整证书链） 1. 验证证书完整性 # 查看证…

以下是针对 sztu.edu.cn 域名的 SSL 证书配置指南：

一、证书文件准备

假设你已有以下文件：

私钥文件：sztu.edu.cn.key
证书文件：sztu.edu.cn.pem（需确认是否包含完整证书链）

1. 验证证书完整性

# 查看证书内容
openssl x509 -in sztu.edu.cn.pem -text -noout# 验证私钥与证书是否匹配
openssl rsa -noout -modulus -in sztu.edu.cn.key | openssl md5
openssl x509 -noout -modulus -in sztu.edu.cn.pem | openssl md5

输出结果必须一致，否则证书和私钥不匹配

二、Nginx 配置模板

server {listen 443 ssl http2;server_name sztu.edu.cn www.sztu.edu.cn;# 证书路径配置（根据实际路径修改）ssl_certificate     /etc/ssl/certs/sztu.edu.cn.pem;      # 证书文件路径ssl_certificate_key /etc/ssl/private/sztu.edu.cn.key;    # 私钥文件路径# SSL 安全配置ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;ssl_prefer_server_ciphers on;ssl_session_cache shared:SSL:10m;ssl_session_timeout 10m;# 网站根目录root /var/www/sztu.edu.cn;index index.html;location / {try_files $uri $uri/ /index.html;}# 强制HTTPS（可选，需配置80端口）error_page 497 https://$host$request_uri;
}

三、关键操作步骤

1. 创建证书存储目录

sudo mkdir -p /etc/ssl/{certs,private}
sudo chmod 700 /etc/ssl/private  # 保护私钥权限

2. 上传证书文件

# 上传证书文件
sudo cp sztu.edu.cn.pem /etc/ssl/certs/
sudo cp sztu.edu.cn.key /etc/ssl/private/# 设置权限（关键！）
sudo chmod 644 /etc/ssl/certs/sztu.edu.cn.pem
sudo chmod 600 /etc/ssl/private/sztu.edu.cn.key

3. 配置 HTTP 强制跳转（80端口）

server {listen 80;server_name sztu.edu.cn www.sztu.edu.cn;return 301 https://$server_name$request_uri;
}

四、验证配置

1. 测试 Nginx 配置

sudo nginx -t  # 必须返回 "syntax is ok"

2. 重启 Nginx

sudo systemctl restart nginx

3. 在线检测工具

SSL Labs 测试：检查证书链和安全性评级
Why No Padlock?：检测混合内容问题

五、常见问题处理

1. 浏览器提示 “证书链不完整”

原因：.pem 文件未包含中间证书
修复：将中间证书追加到 .pem 文件末尾：
```
cat intermediate.crt >> sztu.edu.cn.pem
```

2. 私钥权限问题

# 检查日志
sudo tail -f /var/log/nginx/error.log# 典型错误：
# SSL_CTX_use_PrivateKey_file("/etc/ssl/private/sztu.edu.cn.key") failed (SSL: error:0B080074...)
sudo chmod 600 /etc/ssl/private/sztu.edu.cn.key

3. 证书过期更新

如果是自签名证书，需重新生成
如果是 CA 签发证书，续期后替换文件并重启 Nginx

六、高级安全配置（可选）

# 在 http 块中添加
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;
add_header X-XSS-Protection "1; mode=block";

通过以上配置，你的 sztu.edu.cn 域名将实现安全的 HTTPS 访问。如果证书由权威 CA 签发（如 Let’s Encrypt），用户浏览器将显示绿色锁标志。