ssl 證書(shū)

2023.10.04 | 1250閱讀 | 0條評(píng)論 | 服務(wù)器配置

ssl_ciphers 密鑰套件（2種算法）

1、ssl_ciphers RSA;

2、ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

密鑰錯(cuò)誤導(dǎo)致訪問(wèn)時(shí)提示錯(cuò)誤ERR_SSL_PROTOCOL_ERROR

pem crt key文件區(qū)別

配置HTTPS證書(shū)時(shí)，會(huì)要求配置證書(shū)和私鑰。

比如Nginx

server {

listen 443 ssl http2 default_server;

listen [::]:443 ssl http2 default_server;

server_name 192.168.1.5;

root /www/server/web/html;

ssl_certificate "/www/ssl/certs/ca.crt"; # 證書(shū)

ssl_certificate_key "/www/ssl/private/private.key"; # 私鑰

.crt和.key分別代表證書(shū)和私鑰文件，擴(kuò)展名是按照文件用途來(lái)分的。而.pem是一種文件格式, pem文件是文本格式的，其他證書(shū)格式還有DER。

所以證書(shū).crt和.key文件可以是PEM格式文件, 也可以是其他證書(shū)格式比如DER(二進(jìn)制格式)

所以nginx證書(shū)文件可以重命名,如果你喜歡用文件格式命名

mv ca.crt cert.pem

mv private.key key.pem

然后修改nginx配置文件：

server {

listen 443 ssl http2 default_server;

listen [::]:443 ssl http2 default_server;

server_name 192.168.1.5;

root /www/server/web/html;

ssl_certificate "/www/ssl/certs/cert.pem"; # 證書(shū)

ssl_certificate_key "/www/ssl/private/key.pem"; # 私鑰

如何鑒別文件是PEM格式？

PEM文件是文本文件，所以通常都是以-----BEGIN xxx------開(kāi)頭。

pem格式的私鑰文件

private.key

-----BEGIN PRIVATE KEY-----

MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDBaEW7bbrb5+Ah

...

pem格式的證書(shū)文件

-----BEGIN CERTIFICATE-----

MIIDgzCCAmugAwIBAgIJAMDJXuLyXC2HMA0GCSqGSIb3DQEBCwUAMFgxCzAJBgNV

...

名詞	含義
X.509	一種通用的證書(shū)格式，包含證書(shū)持有人的公鑰，加加密算法等信息
pkcs1 ~pkcs12	公鑰加密（非對(duì)稱(chēng)加密）的一種標(biāo)準(zhǔn)(Public Key Cryptography Standards)，一般存儲(chǔ)為 .pN，,.p12 是包含證書(shū)和密的封裝格式
*.der	證書(shū)的二進(jìn)制存儲(chǔ)格式（不常用）
*.pem	證書(shū)或密鑰的 Base64 文本存儲(chǔ)格式，可以單獨(dú)存放證書(shū)或密鑰，也可以同時(shí)存放證書(shū)或密鑰
*.key	單獨(dú)存放的 pem 格式的密鑰，一般保存為 *.key
.cer .crt	兩個(gè)指的都是證書(shū)，Linux 下叫 crt，Windows 下叫 cer；存儲(chǔ)格式可以是 pem，也可以是 der
*.csr	證書(shū)簽名請(qǐng)求（Certificate signing request），包含證書(shū)持有人的信息，如：國(guó)家，郵件，域名等信息
*.pfx	微軟 IIS 的實(shí)現(xiàn)
*.jks	Java 的 keytool 實(shí)現(xiàn)的證書(shū)格式