在Nginx或Tengine服务器上安装证书

SSL证书服务 CAS

  • 产品描述
    • 介绍
    • 优势
    • 使用场景
    • 核心概念
  • SSL证书安装指南
    • Tomcat服务器安装SSL证书
    • 在Apache服务器上安装SSL证书
    • 在IIS服务器上安装SSL证书
    • 在Nginx或Tengine服务器上安装证书
  • 证书相关概念
    • 主流数字证书都有哪些格式?
  • 典型实践
    • Ubuntu系统Apache 2部署SSL证书
    • OpenSSL心血漏洞(Heartbleed)修复方案
    • 检测OpenSSL-DROWN漏洞
    • 密文填塞漏洞
    • CentOS系统Tomcat 8.5或9部署SSL证书
    • OpenSSL-CCS注入漏洞修复方案
    • HTTPS安全典型实践
      • 安全加固
      • 服务器软件
      • SSL和TLS部署
  • 操作指南
    • 多用户访问控制
    • 管理证书
    • BaiduTrust云端配置
    • 购买证书
    • 续费证书
    • 签发证书(OV与EV)
    • 购前准备
    • 部署证书
    • 签发证书(DV)
    • 重新签发证书
    • BaiduTrust签发证书
      • DV证书验证与签发
      • OV证书验证与签发
      • EV证书验证与签发
  • API参考
    • 通用说明
    • 云SSL相关接口
    • 公共请求头与公共响应头
    • 附录
    • 查询相关接口
    • 证书相关接口
    • 服务域名
    • 价格相关接口
    • 订单相关接口
    • 错误码
    • 概述
  • 常见问题
    • SSL证书申请问题
    • 浏览器访问相关问题
    • SSL证书部署问题
    • SSL证书生效问题
    • 常见问题总览
    • 一般问题
  • 产品定价
    • 申请退款
    • 产品定价
  • 产品动态
    • 最新活动
    • 最新公告
      • 有关TrustAsia品牌根证书的切换说明
      • 百度自有品牌证书BaiduTrust下线通知
      • Symantec证书品牌名及品牌标识变更通知
      • TrustAsia 免费证书 CT 政策问题
      • SSL证书有效期变更通知及应对策略
      • DigiCert 品牌根证书升级通知
      • 免费SSL证书有效期调整通知
所有文档
menu
没有找到结果,请重新输入

SSL证书服务 CAS

  • 产品描述
    • 介绍
    • 优势
    • 使用场景
    • 核心概念
  • SSL证书安装指南
    • Tomcat服务器安装SSL证书
    • 在Apache服务器上安装SSL证书
    • 在IIS服务器上安装SSL证书
    • 在Nginx或Tengine服务器上安装证书
  • 证书相关概念
    • 主流数字证书都有哪些格式?
  • 典型实践
    • Ubuntu系统Apache 2部署SSL证书
    • OpenSSL心血漏洞(Heartbleed)修复方案
    • 检测OpenSSL-DROWN漏洞
    • 密文填塞漏洞
    • CentOS系统Tomcat 8.5或9部署SSL证书
    • OpenSSL-CCS注入漏洞修复方案
    • HTTPS安全典型实践
      • 安全加固
      • 服务器软件
      • SSL和TLS部署
  • 操作指南
    • 多用户访问控制
    • 管理证书
    • BaiduTrust云端配置
    • 购买证书
    • 续费证书
    • 签发证书(OV与EV)
    • 购前准备
    • 部署证书
    • 签发证书(DV)
    • 重新签发证书
    • BaiduTrust签发证书
      • DV证书验证与签发
      • OV证书验证与签发
      • EV证书验证与签发
  • API参考
    • 通用说明
    • 云SSL相关接口
    • 公共请求头与公共响应头
    • 附录
    • 查询相关接口
    • 证书相关接口
    • 服务域名
    • 价格相关接口
    • 订单相关接口
    • 错误码
    • 概述
  • 常见问题
    • SSL证书申请问题
    • 浏览器访问相关问题
    • SSL证书部署问题
    • SSL证书生效问题
    • 常见问题总览
    • 一般问题
  • 产品定价
    • 申请退款
    • 产品定价
  • 产品动态
    • 最新活动
    • 最新公告
      • 有关TrustAsia品牌根证书的切换说明
      • 百度自有品牌证书BaiduTrust下线通知
      • Symantec证书品牌名及品牌标识变更通知
      • TrustAsia 免费证书 CT 政策问题
      • SSL证书有效期变更通知及应对策略
      • DigiCert 品牌根证书升级通知
      • 免费SSL证书有效期调整通知
  • 文档中心
  • arrow
  • SSL证书服务CAS
  • arrow
  • SSL证书安装指南
  • arrow
  • 在Nginx或Tengine服务器上安装证书
本页目录
  • 前提条件
  • 背景信息
  • 操作指南
  • 后续操作

在Nginx或Tengine服务器上安装证书

更新时间:2025-08-21

百度智能云SSL证书服务支持下载证书安装到Nginx、Tengine服务器上,本文介绍了证书安装的具体操作。

前提条件

您的Nginx或Tengine服务器需具备以下条件:

  • 服务器已开启了443端口(HTTPS服务的默认端口)。
  • 服务器上已安装了http_ssl_module模块(启用SSL功能)。

背景信息

本文档以CentOS 7、Nginx 1.15.6为例。

本文档证书名称以 domain 为示例,如证书文件名称为 domain.crt,证书密钥文件名称为 domain.key。

下载的Nginx证书压缩文件解压后包含:

  • .crt:证书文件,crt扩展名的证书文件采用Base64-encoded的PEM格式文本文件,可根据需要修改成 .pem 等扩展名。
  • .key:证书的密钥文件。申请证书时如果选择使用已有的CSR方式申请证书,则下载的证书文件压缩包中不会包含.key文件(私钥文件),key文件在您生成CSR时已经生成了,需要您将自己手动生成的私钥文件拷贝到 cert 目录下并命名为 domain.key。

证书的格式详见 主流数字证书都有哪些格式。

操作指南

  1. 登录百度智能云 SSL证书控制台。
  2. 在SSL证书页面,定位到需要下载的证书并单击证书条目右下角的管理证书

image.png

  1. 打开后点击证书下载对话框。选择 PEM_nginx&apache(非百度证书下载PEM_nginx) 格式并且键入证书压缩密码(注意不是证书密码也不是订单密码),OV、EV证书还会有订单密码输入框,请输入申请证书是填写的密码

image.png

  1. 解压Nginx证书,您将看到文件夹中有3个文件:

    • 证书文件(以 .cer 、 crt、pem 为后缀或文件类型)
    • 密钥文件(以 .key 为后缀或文件类型)
    • 证书链文件(以 _ca.cer 或 _ca.crt 为后缀或文件类型)

    image.png

  2. 在Nginx安装目录下创建 cert 目录,并将下载的证书文件,和密钥文件拷贝到 cert 目录中。

    说明: 如果您在申请证书时选择使用已有的CSR申请证书,请将对应的密钥文件放到 cert 目录中,并命名为 domain.key。

  3. 打开Nginx安装目录 > conf文件夹 > nginx.conf文件,在 nginx.conf 文件中找到以下属性:

    {#codeblock_c5v_l9b_w7a} 
    1# HTTPS server
2server {
3  listen 443;
4  server_name localhost;
5  ssl on;
6  ssl_session_timeout 5m;
7  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
8  ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
9  ssl_prefer_server_ciphers on;
10  location / {
11  ……
12

    修改 nginx.conf 文件如下:

    {#codeblock_7ms_9a2_enf} 
    1# 以下属性中以ssl开头的属性代表与证书配置有关,其他属性请根据自己的需要进行配置。
2server {
3    listen 443;
4    server_name localhost;  # localhost修改为您证书绑定的域名。
5    ssl on;   #设置为on启用SSL功能。
6    root html;
7    index index.html index.htm;
8    ssl_certificate cert/domain_ca.crt;   # 将domain_ca.crt替换成您证书链的文件名(如下载文件没有domain_ca.crt则使用domain.crt或domain.pem)。
9    ssl_certificate_key cert/domain.key;  # 将domain.key替换成您证书的密钥文件名。
10    ssl_session_timeout 5m;               # 指定SSL/TLS会话的超时时间
11    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;  #使用此加密套件。
12    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;   #使用该协议进行配置。
13    ssl_prefer_server_ciphers on;   
14    location / {
15        root html;   #站点目录。
16        index index.html index.htm;   
17    }
18}
  4. 保存 nginx.conf 文件后退出。
  5. 重启Nginx服务器。

  6. (可选步骤)设置http请求自动跳转https。

    在需要跳转的http站点下添加以下 rewrite 语句,实现 http 访问自动跳转到 https 页面

    {#codeblock_807_sev_ayj} 
    1server {
2   listen 80;
3   server_name localhost; 
4   rewrite ^(.*)$ https://$host$1 permanent;
5   location / {
6   index index.html index.htm;
7}

后续操作

证书安装完成后,可通过登录证书绑定域名的方式验证证书是否安装成功。

{#d7e190} 
1https://domain:port   #domain替换成证书绑定的域名,默认443端口可以忽略不输入

如果网页地址栏出现 小锁 标志,表示证书安装成功。

验证证书是否安装成功时,如果网站无法通过 https 正常访问,需确认您安装证书的服务器443端口是否已开启或被其他工具拦截。

上一篇
在IIS服务器上安装SSL证书
下一篇
证书相关概念