原文出自：http://www.joyios.com/?p=47

引言

使用HTTP（超文本傳輸）協議訪問互聯網上的數據是沒有經過加密的。也就是說，任何人都可以通過適當的工具攔截或者監聽到在網絡上傳輸的數據流。但是有時候，我們需要在網絡上傳輸一些安全性或者私秘性的數據，譬如：包含信用卡及商品信息的電子訂單。這個時候，如果仍然使用HTTP協議，勢必會面臨非常大的風險！相信沒有人能接受自己的信用卡號在互聯網上裸奔。

HTTPS（超文本傳輸安全）協議無疑可以有效的解決這一問題。所謂HTTPS，其實就是HTTP和SSL/TLS的組合，用以提供加密通訊及對網絡服務器的身份鑒定。HTTPS的主要思想是在不安全的網絡上創建一安全信道，防止黑客的竊聽和攻擊。

SSL（安全套接層）可以用來對Web服務器和客戶端之間的數據流進行加密。

SSL利用非對稱密碼技術進行數據加密。加密過程中使用到兩個秘鑰：一個公鑰和一個與之對應的私鑰。使用公鑰加密的數據，只能用與之對應的私鑰解密；而使用私鑰加密的數據，也只能用與之對應的公鑰解密。因此，如果在網絡上傳輸的消息或數據流是被服務器的私鑰加密的，則只能使用與其對應的公鑰解密，從而可以保證客戶端與與服務器之間的數據安全。

數字證書（Certificate）

在HTTPS的傳輸過程中，有一個非常關鍵的角色——數字證書，那什么是數字證書？又有什么作用呢？

所謂數字證書，是一種用于電腦的身份識別機制。由數字證書頒發機構（CA）對使用私鑰創建的簽名請求文件做的簽名（蓋章），表示CA結構對證書持有者的認可。數字證書擁有以下幾個優點：

1. 使用數字證書能夠提高用戶的可信度
2. 數字證書中的公鑰，能夠與服務端的私鑰配對使用，實現數據傳輸過程中的加密和解密
3. 在證認使用者身份期間，使用者的敏感個人數據并不會被傳輸至證書持有者的網絡系統上

X.509證書包含三個文件：key，csr，crt。

• key是服務器上的私鑰文件，用于對發送給客戶端數據的加密，以及對從客戶端接收到數據的解密
• csr是證書簽名請求文件，用于提交給證書頒發機構（CA）對證書簽名
• crt是由證書頒發機構（CA）簽名后的證書，或者是開發者自簽名的證書，包含證書持有人的信息，持有人的公鑰，以及簽署者的簽名等信息

備注：在密碼學中，X.509是一個標準，規范了公開秘鑰認證、證書吊銷列表、授權憑證、憑證路徑驗證算法等。

創建自簽名證書的步驟

注意：以下步驟僅用于配置內部使用或測試需要的SSL證書。

第1步：生成私鑰

使用openssl工具生成一個RSA私鑰

$openssl genrsa -des3 -out server.key 2048

說明：生成rsa私鑰，des3算法，2048位強度，server.key是秘鑰文件名。

注意：生成私鑰，需要提供一個至少4位的密碼。

第2步：生成CSR（證書簽名請求）

生成私鑰之后，便可以創建csr文件了。

此時可以有兩種選擇。理想情況下，可以將證書發送給證書頒發機構（CA），CA驗證過請求者的身份之后，會出具簽名證書（很貴）。另外，如果只是內部或者測試需求，也可以使用OpenSSL實現自簽名，具體操作如下：

$openssl req -new -key server.key -out server.csr

說明：需要依次輸入國家，地區，城市，組織，組織單位，Common Name和Email。其中Common Name，可以寫自己的名字或者域名，如果要支持https，Common Name應該與域名保持一致，否則會引起瀏覽器警告。

Country Name (2 letter code) [AU]:CNState or Province Name (full name) [Some–State]:BeijingLocality Name (eg, city) []:BeijingOrganization Name (eg, company) [Internet Widgits Pty Ltd]:joyiosOrganizational Unit Name (eg, section) []:info technologyCommon Name (e.g. server FQDN or YOUR name) []:demo.joyios.comEmail Address []:liufan@joyios.com

第3步：刪除私鑰中的密碼

在第1步創建私鑰的過程中，由于必須要指定一個密碼。而這個密碼會帶來一個副作用，那就是在每次Apache啟動Web服務器時，都會要求輸入密碼，這顯然非常不方便。要刪除私鑰中的密碼，操作如下：

cp server.key server.key.orgopenssl rsa -in server.key.org -out server.key

第4步：生成自簽名證書

如果你不想花錢讓CA簽名，或者只是測試SSL的具體實現。那么，現在便可以著手生成一個自簽名的證書了。

需要注意的是，在使用自簽名的臨時證書時，瀏覽器會提示證書的頒發機構是未知的。

$openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

說明：crt上有證書持有人的信息，持有人的公鑰，以及簽署者的簽名等信息。當用戶安裝了證書之后，便意味著信任了這份證書，同時擁有了其中的公鑰。證書上會說明用途，例如服務器認證，客戶端認證，或者簽署其他證書。當系統收到一份新的證書的時候，證書會說明，是由誰簽署的。如果這個簽署者確實可以簽署其他證書，并且收到證書上的簽名和簽署者的公鑰可以對上的時候，系統就自動信任新的證書。

第5步：安裝私鑰和證書

將私鑰和證書文件復制到nginx目錄下面。

第6步：修改nginx的配置文件，修改端口號

listen  443 ssl;

第7步：修改nginx的配置文件，在service節點中添加一下

ssl on;ssl_certificate /home/server.crt;ssl_certificate_key /home/server.key;ssl_session_timeout 5m;ssl_protocols SSLv2 SSLv3 TLSv1;ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;ssl_prefer_server_ciphers on;

注意：ssl_certificate\ssl_certificate_key這兩個參數填寫證書文件server.crt\server.key的存放位置