说明

• 本文档以证书名称 cloud.tencent.com 为例。
• Nginx 版本以 nginx/1.16.0 为例。
• 当前服务器的操作系统为 CentOS 7，由于操作系统的版本不同，详细操作步骤略有区别。
• 安装 SSL 证书前，请您在 Nginx 服务器上开启 “443” 端口，避免证书安装后无法启用 HTTPS。具体可参考 服务器如何开启443端口？
• SSL 证书文件上传至服务器方法可参考 如何将本地文件拷贝到云服务器。

前提条件

• 已准备文件远程拷贝软件，例如 WinSCP（建议从官方网站获取最新版本）。
• 已准备远程登录工具，例如 PuTTY 或者 Xshell（建议从官方网站获取最新版本）。

• 已在当前服务器中安装配置 Nginx 服务。

  操作步骤

  证书安装

  1. 已在 SSL 证书管理控制台 中下载并解压缩 cloud.tencent.com 证书文件包到本地目录。
     解压缩后，可获得相关类型的证书文件。其中包含 Nginx 文件夹和 CSR 文件：
     • 文件夹名称：Nginx
     • 文件夹内容：
       • 1_cloud.tencent.com_bundle.crt 证书文件
       • 2_cloud.tencent.com.key 私钥文件
     • CSR 文件内容： cloud.tencent.com.csr 文件

  说明：
  CSR 文件是申请证书时由您上传或系统在线生成的，提供给 CA 机构。安装时可忽略该文件。

2. 使用 “WinSCP”（即本地与远程计算机间的复制文件工具）登录 Nginx 服务器。
3. 将已获取到的 1_cloud.tencent.com_bundle.crt 证书文件和 2_cloud.tencent.com.key 私钥文件从本地目录拷贝到 Nginx 服务器的 /usr/local/nginx/conf 目录（此处为 Nginx 默认安装目录，请根据实际情况操作）下。
4. 远程登录 Nginx 服务器。例如，使用 “PuTTY” 工具 登录。
5. 编辑 Nginx 根目录下的 conf/nginx.conf 文件。修改内容如下：
   

   说明：
   此操作可通过执行 vim /usr/local/nginx/conf/nginx.conf 命令行编辑该文件。
   由于版本问题，配置文件可能存在不同的写法。例如：Nginx 版本为 nginx/1.15.0 以上请使用 listen 443 ssl 代替 listen 443 和 ssl on。

server {
     #SSL 访问端口号为 443
     listen 443 ssl; 
     #填写绑定证书的域名
     server_name cloud.tencent.com; 
     #证书文件名称
     ssl_certificate 1_cloud.tencent.com_bundle.crt; 
     #私钥文件名称
     ssl_certificate_key 2_cloud.tencent.com.key; 
     ssl_session_timeout 5m;
     #请按照以下协议配置
     ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
     #请按照以下套件配置，配置加密套件，写法遵循 openssl 标准。
     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
     ssl_prefer_server_ciphers on;
     location / {
        #网站主页路径。此路径仅供参考，具体请您按照实际目录操作。
         root /var/www/cloud.tencent.com; 
         index  index.html index.htm;
     }
 }

6. 在 Nginx 根目录下，通过执行以下命令验证配置文件问题.
   #nginx -t
7. 若修改完成，重启 Nginx即可。

HTTP 自动跳转 HTTPS 的安全配置（可选）

若您不了解通过 HTTPS 访问网站的方式，可以通过配置服务器，让其自动将 HTTP 的请求重定向到 HTTPS。您可以通过以下操作设置：

根据实际需求，选择以下配置方式：

• 在页面中添加 JS 脚本。
• 在后端程序中添加重定向。
• 通过 Web 服务器实现跳转。
• Nginx 支持 rewrite 功能。若您在编译时没有去掉 pcre，您可在 HTTP 的 server 中增加 return 301 https://$host$request_uri;，即可将默认80端口的请求重定向为 HTTPS。修改如下内容：
  

  说明：

• 未添加注释的配置语句，您按照下述配置即可。
• 由于版本问题，配置文件可能存在不同的写法。例如：Nginx 版本为 nginx/1.15.0 以上请使用 listen 443 ssl 代替 listen 443 和 ssl on。

server {
listen 443 ssl;
#填写绑定证书的域名
server_name cloud.tencent.com; 
#网站主页路径。此路径仅供参考，具体请您按照实际目录操作。
root /var/www/cloud.tencent.com; 
index index.html index.htm;   
#证书文件名称
ssl_certificate  1_cloud.tencent.com_bundle.crt; 
#私钥文件名称
ssl_certificate_key 2_cloud.tencent.com.key; 
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
   index index.html index.htm;
}
}
server {
listen 80;
#填写绑定证书的域名
server_name cloud.tencent.com; 
#把http的域名请求转成https
return 301 https://$host$request_uri; 
}

若修改完成，重启 Nginx即可。