Nginx 下配置 SSL 证书

本文将介绍购买 SSL 证书并在 Nginx 配置的姿势。

免费证书和收费证书的区别

首先，免费的 SSL 证书是没有保险的，也没有 SLA 保障，适合个人项目以及短期的网站，对于长期运营的网站来说，我们并不推荐使用免费的 SSL 证书，这时候您就需要购买一个收费的 SSL 证书。

如果您需要免费证书，您可以在 FreeSSL 获取一年的 TrustAsia 证书，您也可以使用 ACME 获取 3 个月的 Let's Encrypt 或 ZeroSSL 证书。

对于普通网站来说，我们推荐 Riven Cloud 的 SSL DV 证书，单域名仅需 $4 美元一年，泛域名也就是俗称 “野卡” 证书也仅需 $40 美元一年，这个价格是比较实惠的。

对于商业网站来说，推荐购买 OV 证书，价格虽贵，但是更有保障，毕竟需要验证组织才签发证书，而普通的 DV 证书仅需要验证域名即可签发。

生成证书签发请求 (CSR)

您必须拥有一个证书签发请求 (Certificate Signing Request，CSR) 才能申请签发 SSL 证书。

这里我们使用 OS X，Linux，UNIX 及类似系统为例，UNIX 系操作系统一般已经内置了 OpenSSL 或 GnuTLS 工具链，您需要系统中存在 openssl 的可执行文件：

Debian / Ubuntu

RHEL / CentOS / Fedora

Arch Linux

openSUSE / SuSE

apt install openssl

交互式生成 CSR

首先生成一个 CSR，这个 CSR 将会用于请求 SSL 证书，这里以 2048 位 RSA 证书为例：

openssl req -new -newkey rsa:2048 -sha256 -nodes -out example_com.csr -keyout example_com.key -subj "/C=CN/ST=Beijing/L=Beijing/O=