怎么样把https加密证书部署到服务器上？

不同的服务器环境如Apache、Nginx、IIS等部署https加密证书的步骤不同，一般把APACHE文件直接将KEY+CER复制到文件上，然后修改HTTPD.CONF文件； IIS需要处理挂起的请求，将CER文件导入。具体的部署指南请参考网页链接，对照着操作就行了。其实，如果在数安时代GDCA申请https加密证书的话，他们会免费帮安装部署！

作为国内领先的云计算服务商，小鸟云有着完善的行业解决方案和卓越的云计算技术。自主研发的纯SSD架构云服务器，以50,000IOPS随机读写速度、800Mb/s吞吐量的高性能数值刷新行业记录。其整合资源、细化资源到落地资源的服务举措，旨在打造差异化的开放式闭环生态系统，帮助用户快速构建稳定、安全的云计算环境。

配置HTTPS主机，必须在server配置块中打开SSL协议，还需要指定服务器端证书和密钥文件的位置：

server {

listen 443

server_name www.example.com

ssl on

ssl_certificate www.example.com.crt

ssl_certificate_key www.example.com.key

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2

ssl_ciphers HIGH:!aNULL:!MD5

...

}

服务器证书是公开的，会被传送到每一个连接到服务器的客户端。而私钥不是公开的，需要存放在访问受限的文件中，当然，nginx主进程必须有读取密钥的权限。私钥和证书可以存放在同一个文件中：

ssl_certificate www.example.com.cert

ssl_certificate_key www.example.com.cert

这种情况下，证书文件同样得设置访问限制。当然，虽然证书和密钥存放在同一个文件，只有证书会发送给客户端，密钥不会发送。

ssl_protocols和ssl_ciphers指令可以用来强制用户连接只能引入SSL/TLS那些强壮的协议版本和强大的加密算法。从1.0.5版本开始，nginx默认使用“ssl_protocols SSLv3 TLSv1”和“ssl_ciphers HIGH:!aNULL:!MD5”，所以只有在之前的版本，明确地配置它们才是有意义的。从1.1.13和1.0.12版本开始，nginx默认使用“ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2”。

CBC模式的加密算法容易受到一些攻击，尤其是BEAST攻击（参见CVE-2011-3389）。可以通过下面配置调整为优先使用RC4-SHA加密算法：

ssl_ciphers RC4:HIGH:!aNULL:!MD5

ssl_prefer_server_ciphers on

---