ssl_ciphers 密鑰套件(2種算法)
1、ssl_ciphers RSA;
2、ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
密鑰錯誤導致訪問時提示錯誤ERR_SSL_PROTOCOL_ERROR
pem crt key文件區別
配置HTTPS證書時,會要求配置證書和私鑰。
比如Nginx
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name 192.168.1.5;
root /www/server/web/html;
ssl_certificate "/www/ssl/certs/ca.crt"; # 證書
ssl_certificate_key "/www/ssl/private/private.key"; # 私鑰
.crt和.key分別代表證書和私鑰文件,擴展名是按照文件用途來分的。而.pem是一種文件格式, pem文件是文本格式的,其他證書格式還有DER。
所以證書.crt和.key文件可以是PEM格式文件, 也可以是其他證書格式比如DER(二進制格式)
所以nginx證書文件可以重命名,如果你喜歡用文件格式命名
mv ca.crt cert.pem
mv private.key key.pem
然后修改nginx配置文件:
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name 192.168.1.5;
root /www/server/web/html;
ssl_certificate "/www/ssl/certs/cert.pem"; # 證書
ssl_certificate_key "/www/ssl/private/key.pem"; # 私鑰
如何鑒別文件是PEM格式?
PEM文件是文本文件,所以通常都是以-----BEGIN xxx------開頭。
pem格式的私鑰文件
private.key
-----BEGIN PRIVATE KEY-----
MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDBaEW7bbrb5+Ah
...
pem格式的證書文件
-----BEGIN CERTIFICATE-----
MIIDgzCCAmugAwIBAgIJAMDJXuLyXC2HMA0GCSqGSIb3DQEBCwUAMFgxCzAJBgNV
...
名詞 | 含義 |
X.509 | 一種通用的證書格式,包含證書持有人的公鑰,加加密算法等信息 |
pkcs1 ~pkcs12 | 公鑰加密(非對稱加密)的一種標準(Public Key Cryptography Standards),一般存儲為 .pN,,.p12 是包含證書和密的封裝格式 |
*.der | 證書的二進制存儲格式(不常用) |
*.pem | 證書或密鑰的 Base64 文本存儲格式,可以單獨存放證書或密鑰,也可以同時存放證書或密鑰 |
*.key | 單獨存放的 pem 格式的密鑰,一般保存為 *.key |
*.cer *.crt | 兩個指的都是證書,Linux 下叫 crt,Windows 下叫 cer;存儲格式可以是 pem,也可以是 der |
*.csr | 證書簽名請求(Certificate signing request),包含證書持有人的信息,如:國家,郵件,域名等信息 |
*.pfx | 微軟 IIS 的實現 |
*.jks | Java 的 keytool 實現的證書格式 |
發表評論