阿里云SSL证书在宝塔apache/nginx环境的部署方法（宝塔安装阿里云ssl证书）

25-04-10 5

针对阿里云SSL证书在宝塔apache/nginx环境的部署方法和宝塔安装阿里云ssl证书这两个问题，本篇文章进行了详细的解答，同时本文还将给你拓展apachenginx配置ssl客户端证书加密认证、

针对阿里云SSL证书在宝塔apache/nginx环境的部署方法和宝塔安装阿里云ssl证书这两个问题，本篇文章进行了详细的解答，同时本文还将给你拓展apache nginx 配置 ssl 客户端证书加密认证、centos apache 腾讯云ssl证书配置、CentOS下Apache环境+Nginx环境、Debian8 nginx添加阿里云ssl证书，配置https等相关知识，希望可以帮助到你。

本文目录一览：

阿里云SSL证书在宝塔apache/nginx环境的部署方法（宝塔安装阿里云ssl证书）
apache nginx 配置 ssl 客户端证书加密认证
centos apache 腾讯云ssl证书配置
CentOS下Apache环境+Nginx环境
Debian8 nginx添加阿里云ssl证书，配置https

阿里云SSL证书在宝塔apache/nginx环境的部署方法（宝塔安装阿里云ssl证书）

　　Linux是多数人会选择的服务器操作系统，加上宝塔面板，很轻松的就可以搭好网站所需要的环境。我们在给域名申请SSL证书后，还需要在宝塔中部署，今天我们讲下阿里云申请的SSL证书如何在Apache、Nginx环境的部署方法。

　　一、Apache环境下阿里云SSL证书部署方法

　　1、在数字证书管理服务→SSL证书→免费证书→下载(根据服务器类型选择Apache)，解压后有三个文件，如下图：

　　2、在宝塔控制面板→SSL→其它证书中将.key文档里内容复制进左边密钥(KEY)的框中。

　　3、用文本打开_public.crt文件复制里面的内容到右边证书(pem)的框中，接着用文本打开_chain.crt文件，将内容复制到刚才已粘贴的内容下方(右边pem)。注意换行粘贴，这一步是拼接PEM证书，一定要根据这个顺序，否则浏览器会提示不安全。

　　4、保存成功后，会在证书夹中看到域名的SSL，点击部署即可。建议开启强制https，这样输入http的时候也会自动定向到https。

　　二、Nginx环境下阿里云SSL证书部署方法

　　1、按上方介绍的方法下载SSL证书(Nginx服务器类型)，解压后是一个.key与.pem文件。

　　2、登录宝塔面板进入要部署的域名设置SSL，将后缀.key的文件用记事本编辑器打开，完整的将内容复制粘贴到左边输入框中;然后将后缀.pem的文件用文本编辑器打开，完整的复制粘贴到右侧输入框中即可。

　　以上是阿里云在宝塔apache与nginx环境下部署SSL证书教程的全部介绍，希望可以帮助大家解决这个小问题。

apache nginx 配置 ssl 客户端证书加密认证

系统 FreeBSD8.2 apache22

1、创建主证书

利用 CA.sh 创建主证书

#mkdir -p /usr/local/etc/apache22/ssl 创建一个目录存放 ssl 证书

#cp /usr/src/crypto/openssl/apps/CA.sh/usr/local/etc/apache22/ssl 把 CA.sh 拷贝进来

#cd /usr/loca/etc/apach22/ssl

#./CA.sh -newca

CA certificate filename (or enter to create)

Making CA certificate ...
Generating a 1024 bit RSA private key
.................................................++++++
................++++++
writing new private key to ''./demoCA/private/./cakey.pem''

Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ''.'', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:ShangHai
Locality Name (eg, city) []:ShangHai
Organization Name (eg, company) [Internet Widgits Pty Ltd]:DaoXiLa Ltd
Organizational Unit Name (eg, section) []:DaoXiLa
Common Name (eg, YOUR name) []:daoxila.com
Email Address []:sa@daoxila.com

Please enter the following ''extra'' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:DaoXiLa
Using configuration from /etc/ssl/openssl.cnf
Enter pass phrase for ./demoCA/private/./cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            c0:c4:03:a6:34:24:ac:f5
        Validity
            Not Before: Jun 10 01:46:22 2012 GMT
            Not After : Jun 10 01:46:22 2015 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = ShangHai
            organizationName          = DaoXiLa Ltd
            organizationalUnitName    = DaoXiLa
            commonName                = daoxila.com
            emailAddress              = sa@daoxila.com
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                19:C9:F0:C8:EA:0A:80:3D:A8:E7:18:3E:AB:8A:86:E8:08:52:AC:94
            X509v3 Authority Key Identifier:
                keyid:19:C9:F0:C8:EA:0A:80:3D:A8:E7:18:3E:AB:8A:86:E8:08:52:AC:94
                DirName:/C=CN/ST=ShangHai/O=DaoXiLa Ltd/OU=DaoXiLa/CN=daoxila.com/emailAddress=sa@daoxila.com
                serial:C0:C4:03:A6:34:24:AC:F5

X509v3 Basic Constraints:
CA:TRUE
Certificate is to be certified until Jun 10 01:46:22 2015 GMT (1095 days)

Write out database with 1 new entries
Data Base Updated

2、生成服务器私钥和服务器证书

生成私钥

openssl genrsa -des3 -out server.key 1024
Generating RSA private key, 1024 bit long modulus
...................++++++
.............++++++
e is 65537 (0x10001)
Enter pass phrase for dxlcs.key: 输入密码
Verifying - Enter pass phrase for dxlcs.key: 重复密码

生成服务器证书

# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ''.'', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Shanghai
Locality Name (eg, city) []:Shanghai
Organization Name (eg, company) [Internet Widgits Pty Ltd]:DaoXiLa Ltd
Organizational Unit Name (eg, section) []:DaoXiLa
Common Name (eg, YOUR name) []:cs.daoxila.com
Email Address []:sa@daoxila.com

Please enter the following ''extra'' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

对产生的服务器证书进行签证

# mv server.csr newreq.pem

t# ./CA.sh -sign
Using configuration from /etc/ssl/openssl.cnf
Enter pass phrase for ./demoCA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            95:37:b2:00:9a:e1:c2:60
        Validity
            Not Before: Jun 13 13:54:42 2012 GMT
            Not After : Jun 13 13:54:42 2013 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = Shanghai
            localityName              = Shanghai
            organizationName          = DaoXiLa Ltd
            organizationalUnitName    = DaoXiLa
            commonName                = cs.daoxila.com
            emailAddress              = sa@daoxila.com
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                05:59:78:BD:B6:61:5F:48:1E:16:2B:E6:79:1E:B7:B9:98:81:5B:02
            X509v3 Authority Key Identifier:
                keyid:9D:20:76:DE:FD:D0:A0:87:86:F7:FF:6E:2E:2C:AA:20:B3:40:A9:D8

Certificate is to be certified until Jun 13 13:54:42 2013 GMT (365 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            95:37:b2:00:9a:e1:c2:60
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=CN, ST=Shanghai, O=DaoXiLa Ltd, OU=DaoXiLa, CN=cs.daoxila.com/emailAddress=sa@daoxila.com
        Validity
            Not Before: Jun 13 13:54:42 2012 GMT
            Not After : Jun 13 13:54:42 2013 GMT
        Subject: C=CN, ST=Shanghai, L=Shanghai, O=DaoXiLa Ltd, OU=DaoXiLa, CN=cs.daoxila.com/emailAddress=sa@daoxila.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:a5:36:38:4b:b5:4f:c8:ae:6f:f8:c8:7e:c9:9e:
                    b2:6c:ea:a9:35:02:43:a4:93:70:7d:04:b5:ce:00:
                    9e:30:7e:dd:dc:fd:23:03:60:f8:2a:e3:dc:6b:97:
                    95:46:6f:b9:7d:2e:d2:9c:f1:f8:b4:32:c8:c2:73:
                    6c:63:99:98:65:2b:2b:6c:76:34:1b:1a:ba:14:8e:
                    f5:c8:3b:6c:70:d4:9e:6f:fc:92:16:5c:78:40:41:
                    a2:20:8a:cd:ed:37:cc:67:2c:aa:fa:17:d8:c4:df:
                    d4:7c:25:40:bc:13:91:a5:54:96:cd:27:63:a2:18:
                    a6:5e:98:3d:a6:ba:ec:70:81
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                05:59:78:BD:B6:61:5F:48:1E:16:2B:E6:79:1E:B7:B9:98:81:5B:02
            X509v3 Authority Key Identifier:
                keyid:9D:20:76:DE:FD:D0:A0:87:86:F7:FF:6E:2E:2C:AA:20:B3:40:A9:D8

    Signature Algorithm: sha1WithRSAEncryption
        2f:94:d2:b8:62:cd:ef:04:bf:c7:7c:07:47:7b:cd:9e:ff:8c:
        04:da:6f:ed:c7:36:38:96:57:6d:3e:5b:9d:15:75:69:ae:7d:
        7c:78:c6:c5:dc:b3:52:20:50:16:62:95:70:d7:ff:38:37:4a:
        8a:f9:17:2b:8e:41:18:b2:b7:70:ca:45:69:56:a1:31:fb:02:
        c2:66:8a:99:d1:ce:05:53:1a:14:ca:75:a4:85:c6:77:af:71:
        4f:f0:1f:81:7f:be:c4:c1:61:f0:5f:6e:a4:5d:78:04:23:fe:
        3a:33:7d:eb:6b:49:a5:47:d7:e3:1f:32:f0:e0:5d:a8:21:8e:
        68:45
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Signed certificate is in newcert.pem

#mv newcert.pem server.crt

3、产生客户端证书

生成客户私钥：
openssl genrsa -des3 -out client.key 1024

生成客户证书
openssl req -new -key client.key -out client.csr

签证：
openssl ca -in client.csr -out client.crt -days 3650

openssl 无法同时建两个 crt 文件 —— 建完 server.crt 后，建立 client.crt 时报错，删掉上次 server.crt 时生成的 demoCA/index.txt，再 touch 一个新的，即可
# rm index.txt
# touch index.txt

Using configuration from /etc/ssl/openssl.cnf
Enter pass phrase for ./demoCA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            95:37:b2:00:9a:e1:c2:61
        Validity
            Not Before: Jun 13 14:11:48 2012 GMT
            Not After : Jun 11 14:11:48 2022 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = Shanghai
            organizationName          = DaoXiLa Ltd
            organizationalUnitName    = DaoXiLa
            commonName                = cs.daoxila.com
            emailAddress              = sa@daoxila.com
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                76:35:CA:6D:22:BE:FE:A0:72:9F:74:C6:7D:5D:86:3F:0E:C4:CC:9E
            X509v3 Authority Key Identifier:
                keyid:9D:20:76:DE:FD:D0:A0:87:86:F7:FF:6E:2E:2C:AA:20:B3:40:A9:D8

Certificate is to be certified until Jun 11 14:11:48 2022 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

转换成 pkcs12 格式，为客户端安装所用
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

拷贝一份根证书
cp demoCA/cacert.pem ./
在拷贝一份根证书给浏览器安装
cp cacert.pem CA.crt

Apache 虚拟主机配置

<VirtualHost *:443>
DocumentRoot /www
ServerName www.axin.net
ServerAlias axin.net
SSLEngine on
SSLCACertificatePath /usr/local/etc/apache22/ssl ssl 目录
SSLCACertificateFile /usr/local/etc/apache22/ssl/cacert.pem ssl 根证书
SSLCertificateFile /usr/local/etc/apache22/cs_ssl/server.crt ssl 服务器证书
SSLCertificateKeyFile /usr/local/etc/apache22/cs_ssl/server.key ssl 密钥
SSLVerifyClient require 要求客户端证书
SSLVerifyDepth 10 客户端证书深度
</VirtualHost>

启动时不要密码

在 httpd-ssl.conf 增加一条

SSLPassPhraseDialog exec:/usr/local/etc/apache22/apache_pass.sh

vim apache_pass.sh
#!/bin/sh
echo "password"

Nginx 配置

大型网站应用 apache 在后端 nginx 做反向代理负载均衡

    server {
        listen       443;
        server_name  www.axin.net;
        index index.html index.htm index.php;

        ssl                  on;
        ssl_certificate      ssl/server.crt;
        ssl_certificate_key ssl/server.key;
        ssl_client_certificate ssl/cacert.pem;
        ssl_verify_client on;
        ssl_verify_depth 1;
        ssl_session_timeout 5m;

        ssl_protocols SSLv2 SSLv3 TLSv1;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers   on;

        location / {
                proxy_set_header Host    $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For    $remote_addr;
                proxy_pass http://192.168.2.150;
        }
        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|js|css)$
                {
                proxy_next_upstream http_502 http_504 error timeout invalid_header;
#                proxy_cache cache_one;
#                proxy_cache_valid 200 304 12h;
#                proxy_cache_valid 301 302 1m;
#                proxy_cache_valid any 1m;
#                proxy_cache_key $host$uri$is_args$args;
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_set_header Accept-Encoding "none";
                proxy_ignore_headers "Cache-Control" "Expires";
                proxy_pass http://192.168.2.150;
                #expires 1d;
#                add_header nid nginx-1;
                }
        location ~ .*\.(php|jsp|cgi)?$ {
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_pass http://192.168.2.150;
#                add_header nid nginx-1;
                }
}

nginx 启动免输入密码

openssl rsa -in server.key -out server.key.nopass

修改

ssl_certificate_key ssl/server.key

ssl_certificate_key ssl/server.key.nopass

根证书签发的时间
一次签发默认时间是一年，到期了会影响服务
一次签发 10 年
修改 etc/ssl/openssl.cnf
default_days = 3650

centos apache 腾讯云ssl证书配置

首先向证书机构申请https证书，会得到证书和私钥，这里我以腾讯云证书安装为例（非常简单）

分两步走

1.申请

2.获取证书

找到腾讯云控制台->SSL证书->证书管理->点击下载

把下载到的压缩包解压，获取到如下内容

根据不同的服务器安装对应的证书，这里以apache为例

后续的ssl安装配置有两种解决方案

第一种解决方案

1.编辑Apache根目录下 conf/httpd.conf 文件，
找到 #LoadModule ssl_module modules/mod_ssl.so 和 #Include conf/extra/httpd-ssl.conf，去掉前面的#号注释；

2.编辑Apache根目录下 conf/extra/httpd-ssl.conf 文件，修改如下内容：

<VirtualHost 0.0.0.0:443> DocumentRoot "/var/www/html" ServerName www.domain.com SSLEngine on SSLCertificateFile /usr/local/apache/conf/2_www.domain.com_cert.crt SSLCertificateKeyFile /usr/local/apache/conf/3_www.domain.com.key SSLCertificateChainFile /usr/local/apache/conf/1_root_bundle.crt </VirtualHost>

把刚刚下载下来的证书中的apache文件夹里的三个秘钥文件放到对应路径，然后重新配置这三个秘钥文件的路径即可

配置完成后，重新启动 Apache 就可以使用https://www.domain.com来访问了。

第二种解决方案

1.安装apache的mod_ssl.so模块（先查看一下这个模块是否已安装）

yum -y install mod_ssl

安装了这个模块之后再检查一下模块是否开启（LoadModule ssl_module modules/mod_ssl.so）

2.修改 ssl.conf

vim /etc/httpd/conf.d/ssl.conf

和第一种解决方案的描述一样，把三个秘钥文件放到对应路径，再重新配置这三个秘钥文件的路径即可

配置完成后，重新启动 Apache 就可以使用 https://www.domain.com来访问了。

CentOS下Apache环境+Nginx环境

无论Apache还是Nginx，在一定的架构环境和用户需求层面，都有独特的优势之处。比如我们在利用Apache处理动态页面，以及常规的操作熟练度来说可能就比较容易上手，但是在大型网站数据前端文件的静态化处理的时候Nginx架构处理就更加具备优势，一般我们可以看到大型的网站环境都是用Nginx环境架构的。

但是，对于我们一般的网站或者博客需求的环境，无所谓使用何种架构，基本上没有多大的区别，这篇文章老左在国外看到的，同样的整理回来一并与大家学习。在本文中，我将整理和分享使用Nginx进行Apache的反向代理：Nginx的将运行80端口，处理器缓存静态文件（JavaScript，JPG，GIF，TXT...），Apache将运行端口8080和处理请求的（ PHP，ASPX...）

具体的模型结构是：客户-Nginx -Apache，在这篇文章中，老左是用centos6 64位环境演示的。

第一、安装Apache

yum install httpd httpd-devel -y

然后我们需要在/etc/httpd/conf/httpd.conf文件编辑，设置Apache运营在8080端口

搜索Listen 80，然后修改成 Listen 8080

CentOS下Apache环境+Nginx环境

然后，我们同样的在当前文件最后一行，插入下面的脚本。

NameVirtualHost 127.0.0.1:8080
# Define Server document root
DocumentRoot /var/www/html/
# Define the virtual host
<VirtualHost 127.0.0.1:8080>
ServerName www.laozuo.org
ServerAlias laozuo.org
DocumentRoot /var/www/laozuo.org
<Directory "/var/www/laozuo.org">
Options FollowSymLinks -Includes
AllowOverride All
Order allow,deny
Allow from all
</Directory>
RewriteEngine on
</VirtualHost>

前提是，我们需要在/var/www/文件中创建对应站点的文件夹，然后在上面的文件中修改域名为我们自己的域名。

然后，我们重启HTTPD

service httpd restart

第二、安装Nginx

编辑/etc/yum.repos.d/Nginx.repo文件，然后把下面文件脚本添加。

[Nginx]
name=Nginx repo
baseurl=http://Nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=0
enabled=1

把上面的脚本添加进去。然后运行yum install Nginx -y 安装执行

CentOS下Apache环境+Nginx环境

安装完毕之后，我们需要在前端创建站点配置文件。

vi /etc/Nginx/conf.d/laozuo.org.conf

然后添加脚本如下

server {
listen 80;
server_name laozuo.org laozuo.org;
access_log /var/log/Nginx/laozuo.org-access_log ;
error_log /var/log/Nginx/laozuo.org-error_log ;

location ~* .(gif|jpg|jpeg|png|ico|wmv|3gp|avi|mpg|mpeg|mp4|flv|mp3|mid|js|css|html|htm|wml)$ {
root /var/www/laozuo.org;
expires 365d;
}

# All files are cashed for 120 minutes and up to 200 pages,this have to be removed
location / {
root /var/www/laozuo.org;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffers 32 4k;
proxy_pass http://127.0.0.1:8080/;
# If the backend server send one of these error Nginx will serve from cashed files
proxy_cache_use_stale error timeout invalid_header updating;
}
}

对应的域名文件，修改成我们自己的。

最后，重启Nginx

service Nginx restart

第三、检查

lsof –i tcp:80 #for check Nginx
lsof –i tcp:8080 # for apache

如果看到下面的

CentOS下Apache环境+Nginx环境

我们可以通过停止APACHE检查Nginx是否正常service httpd stop，然后打开已经解析好的域名如果出现502 Bad Gateway error Nginx/1.6.0错误提示，则代表Nginx安装正常了。

总结，这里我们已经把Nginx作为前端安装，一般我们普通建站用户用个普通的一键包或者WEB面板就可以了，没有必要这么折腾。

Debian8 nginx添加阿里云ssl证书，配置https

前言：笔者买了个域名和云服务器，用于学习，本文仅记录下学习过程中的一些收获，如有不足之处，请指正或者提出好的建议｡◕‿◕｡谢谢。此文是在Debian安装了nginx的基础之上，为服务器配置https，关于如何在Debian安装nginx，这个博主写得蛮不错的：Debian 8 安装Nginx最新版本，关于网站部署https的重要性以及https的一些原理，这个博主也写得蛮不错的：HTTPS证书生成原理和部署细节。

当我们访问一些不支持https的网站的时候，谷歌浏览器会提示我们：
连接不安全
HTTP 协议是不加密传输数据的，也就是用户跟你的网站之间传递数据有可能在途中被截获，破解传递的真实内容，所以使用不加密的 http 的网站是不太安全的。
现在有一些机构可以为我们免费提供安全证书，如阿里云或者腾讯云等等平台，笔者是在阿里云上买的域名，也顺便在阿里云申请免费的SSL证书。

阿里云申请免费安全证书的链接在此：链接

)。

申请的步骤如下：

申请免费版安全证书
同意协议
确认支付

支付成功之后我们需要到阿里云SSL证书管理控制台申请证书，输入绑定的域名以及个人信息，这个在控制台那里也会提示你进行申请：

证书申请，填写个人信息
接着，会生成验证信息，我们只需要点击验证，阿里云会自动帮我们验证信息的。

点击验证之后，我们看到控制台这里是提示证书申请审核中：

等待大概2-3分钟之后，阿里云发来了邮件信息，提示申请证书成功：
邮件提示申请成功
再次回到我们的控制台，我们会发现此时从审核中变成了已签发的状态，然后就是下载我们的SSL证书了：
点击下载
选择nginx
下载之后进行解压，里面有两个文件，以.key和.pem结尾，这两个我们要上传到我们的Debian8上面。

创建存放SSL证书文件的文件夹：

$ sudo mkdir -p /etc/nginx/ssl

我这里是把这两个文件放在 /etc/nginx/ssl目录下，这里需要记住上传SSL证书文件的路径。
接着，我们需要给nginx的配置文件加上添加证书的路径以及开启安全证书，进入默认的配置文件：

$ vim /etc/nginx/sites-available/default

添加的内容如下：

点击 i ，进行修改内容，把以下内容复制/输入进去，当然别忘了把ssl_certificate和ssl_certificate_key后面路径的**换成是你的文件名字哦：

        listen 443 ssl;
        ssl_certificate    /etc/nginx/ssl/****.pem;
        ssl_certificate_key /etc/nginx/ssl/****.key;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

最后按esc退出，然后输入:wq 保存并退出。

然后检查一下我们修改内容有没有出错，输入：

$ nginx -t

提示successful
修改成功

最后的最后，还需要重启一下nginx，不然的话是不会生效的。
输入：

$ sudo service nginx restart

最后，在浏览器访问我的域名，可以看到提示连接是安全的：
连接安全

题外话，部署好了之后可以在这个网站：链接，看看测评分数，如果分数是 A+，说明你的 HTTPS 的各项配置都还不错，速度也很快。我这边是B。

今天关于阿里云SSL证书在宝塔apache/nginx环境的部署方法和宝塔安装阿里云ssl证书的讲解已经结束，谢谢您的阅读，如果想了解更多关于apache nginx 配置 ssl 客户端证书加密认证、centos apache 腾讯云ssl证书配置、CentOS下Apache环境+Nginx环境、Debian8 nginx添加阿里云ssl证书，配置https的相关知识，请在本站搜索。

本文标签：