ssl_ciphers 密钥套件(2种算法)
1、ssl_ciphers RSA;
2、ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
密钥错误导致访问时提示错误ERR_SSL_PROTOCOL_ERROR
pem crt key文件区别
配置HTTPS证书时,会要求配置证书和私钥。
比如Nginx
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name 192.168.1.5;
root /www/server/web/html;
ssl_certificate "/www/ssl/certs/ca.crt"; # 证书
ssl_certificate_key "/www/ssl/private/private.key"; # 私钥
.crt和.key分别代表证书和私钥文件,扩展名是按照文件用途来分的。而.pem是一种文件格式, pem文件是文本格式的,其他证书格式还有DER。
所以证书.crt和.key文件可以是PEM格式文件, 也可以是其他证书格式比如DER(二进制格式)
所以nginx证书文件可以重命名,如果你喜欢用文件格式命名
mv ca.crt cert.pem
mv private.key key.pem
然后修改nginx配置文件:
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name 192.168.1.5;
root /www/server/web/html;
ssl_certificate "/www/ssl/certs/cert.pem"; # 证书
ssl_certificate_key "/www/ssl/private/key.pem"; # 私钥
如何鉴别文件是PEM格式?
PEM文件是文本文件,所以通常都是以-----BEGIN xxx------开头。
pem格式的私钥文件
private.key
-----BEGIN PRIVATE KEY-----
MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDBaEW7bbrb5+Ah
...
pem格式的证书文件
-----BEGIN CERTIFICATE-----
MIIDgzCCAmugAwIBAgIJAMDJXuLyXC2HMA0GCSqGSIb3DQEBCwUAMFgxCzAJBgNV
...
名词 | 含义 |
X.509 | 一种通用的证书格式,包含证书持有人的公钥,加加密算法等信息 |
pkcs1 ~pkcs12 | 公钥加密(非对称加密)的一种标准(Public Key Cryptography Standards),一般存储为 .pN,,.p12 是包含证书和密的封装格式 |
*.der | 证书的二进制存储格式(不常用) |
*.pem | 证书或密钥的 Base64 文本存储格式,可以单独存放证书或密钥,也可以同时存放证书或密钥 |
*.key | 单独存放的 pem 格式的密钥,一般保存为 *.key |
*.cer *.crt | 两个指的都是证书,Linux 下叫 crt,Windows 下叫 cer;存储格式可以是 pem,也可以是 der |
*.csr | 证书签名请求(Certificate signing request),包含证书持有人的信息,如:国家,邮件,域名等信息 |
*.pfx | 微软 IIS 的实现 |
*.jks | Java 的 keytool 实现的证书格式 |
发表评论