HTTPS证书(SSL)

Question

是否可以创建在浏览器中受信任的自己的SSL证书？因此，如果用户进入我的网站，他们不需要信任我的网站。就像专业网站一样？

我在用nginx。

Answer 1

您不能创建一个，因为您不是一个受浏览器信任的证书颁发机构。

不过，你能做的就是从‘sEncrypt那里得到一个免费的。你必须每隔90天续订一次，但你可以很容易地把它做好。

Answer 2

如果您想创建自己的证书颁发机构，我无法帮助您。但是，如果您只想要一个免费的SSL证书，这是非常容易的:您可以使用Letsencrypt。例如，如果您对服务器具有SSH访问权限，则可以使用Certbot。

然后下载它供您的发行版使用，然后键入：

./certbot-auto certonly --webroot -w /var/www/your_web_root -d yourdomain.com

然后，您所需要做的就是更改您的nginx站点配置，以便它支持SSL。

您可以看看我在github上的例子：

https://github.com/NLDev/dotfiles/blob/master/nginx.conf

此配置在SSL测试中对A+评分。

或者您可以使用这个简化版本：

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name example.com;

    return 301 https://example.com$request_uri;
    location ~ /.well-known {
           allow all;
    }
}

server {
    listen 443 ssl default_server;

    root /var/www/example.com/public_html;
    index index.html index.htm index.php;

    server_name example.com;
    ssl on;
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    location /.well-known/acme-challenge {
            root /var/www/letsencrypt;
    }

    location ~ /.well-known {
            allow all;
    }
}

用您的域替换example.com并进行更改

/var/www/example.com/public_html;

敬你的webroot。

Answer 3

您可以创建自己的自签名证书，但由于浏览器列表中没有根证书，因此浏览器不信任该证书。浏览器只能信任由第三方证书颁发的预装受信任根证书。

每个浏览器使用一组不同的证书颁发机构(CA)证书。您可以检查主要浏览器的受信任根证书。

• 火狐：https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/included/
• 铬：http://www.chromium.org/Home/chromium-security/root-ca-policy
• 歌剧：https://certs.opera.com/
• iOs：https://support.apple.com/kb/ht5012

您应该从浏览器可识别的受信任证书颁发机构获得SSL证书。要在nginx服务器上安装SSL，可以遵循以下快速指南-- https://www.ssl2buy.com/wiki/how-to-install-ssl-certificate-on-nginx-server