Ngày đăng: 2015-07-18 15:03:46 | Cập nhật: 2015-10-08 13:31:59
Để cài đặt chứng thư số SSL cho nginx, bạn thực hiện như sau:
1. Giải nén file đính kèm trong email chúng tôi gửi cho ban sau khi chứng thư số được cấp, sẽ được file certificate.crt
2. Tải file này lên server, đưa vào trong thư mục /usr/local/ssl/certificate (đây là thư mục hôm trước bạn đã tạo ra để chứa CSR và private key).
3. Login vào SSH bằng tài khoản root
4. Lúc này trong thư mục /usr/local/ssl/certificate sẽ có 2 file: private.key, certificate.crt. Trong thư mục này sẽ có thêm fiile certreq.csr tuy nhiên bạn không cần dùng file này nữa.
5. Mở file cấu hình của nginx (thường là /etc/nginx/conf/default.conf hoặc /etc/nginx/conf/ssl.conf hoặc /etc/nginx/sites-enabled/domain.conf) và tìm đoạn cấu hình sau:
server {
listen 443;
ssl on;
ssl_certificate /usr/local/ssl/certificate/certificate.crt;
ssl_certificate_key /usr/local/ssl/certificate/private.key;
server_name your.domain.com;
access_log /var/log/nginx/nginx.vhost.access.log;
error_log /var/log/nginx/nginx.vhost.error.log;
location / {
root /home/www/public_html/your.domain.com/public/;
index index.html;
}
}
6. Khởi động lại nginx
service nginx restart
7. Mở port 443 trên Firewall (Nếu bạn dùng software firewall như iptables chẳng hạn thì có thể tìm thấy file config tại: /etc/sysconfig/iptables)
Nếu bạn muốn cấu hình OCSP stapling cho nginx, bạn có thể tham khảo hướng dẫn sau đây: Hướng dẫn cấu hình OCSP stapling cho nginx
Sau khi cài đặt thành công, bạn có thể kiểm tra lại cert đã được install đúng hay chưa bằng công cụ sau: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp
Bạn có thể backup bộ chứng thư số SSL theo hướng dẫn sau: https://baomat.website/huong-dan-chuyen-doi-ssl/huong-dan-backup-chung-thu-so-ssl-136.htm#nginx