基于Centos-7.2部署LNMP环境 教程所搭建的Nginx环境，为web服务配置SSL证书（需要提前准备好域名）。以下步骤为配置部署证书的全部过程。

下载证书并解压

进入百度智能云控制台--安全和管理--SSL证书服务–已购证书列表中，点击之前基于该服务器所绑定域名申请的证书信息--查看证书。

点击下载证书，选择PEM_Nginx格式，并设置四位数字的解压缩密码。

在本地下载完毕后，双击打开，可看到有crt以及key两个文件，选择解压到，设置路径后，输入刚在控制台上设置的四位数密码。

上传证书文件到服务器中

使用FTP或者其他工具将上一步中解压得到的crt以及key文件上传到服务器的nginx配置目录/etc/nginx/中。

修改配置文件

vim/etc/nginx/nginx.conf

添加上以下虚拟主机配置，或者取消HTTPS主机的注释。

server {
listen 443;
server_name********.com;#更换上所绑定的域名，一定要是申请了证书的域名
 sslon; #这一行是另外添加的，意思是打开ssl功能，一定要添加。
ssl_certificate/etc/nginx/********.com.crt;#这是下载下来的nginx证书的crt文件路径，绝对或者相对路径都可以
ssl_certificate_key/etc/nginx/*********.com.key; #和crt的规则一样
ssl_session_cacheshared:SSL:1m;
ssl_session_timeout5m;
ssl_ciphersHIGH:!aNULL:!MD5;
ssl_prefer_server_cipherson;
location / {
root html;
indexindex.html index.htm;
}
}

保存配置后，重启nginx服务

systemctl restart nginx

此时可通过netstat -anplt查看到443端口已经开放。使用https://域名也可正常打开网站。

设置http强制跳转https

vim/etc/nginx/nginx.conf

在80的server中，先将server_name后的localhost修改为此证书域名。然后在下面添加上一句：

rewrite ^(.*)$ https://${server_name}$1 permanent;

保存后，重启nginx：

systemctl restart nginx

此时在直接访问域名时，会全部301跳转到https请求上。

基于Centos-7.2部署LAMP环境所搭建的apache环境，为web服务配置SSL证书（需要提前准备好域名）。以下步骤为配置部署证书的全部过程。

1.下载证书并解压

进入百度智能云控制台--安全和管理--SSL证书服务–已购证书列表中，点击之前基于该服务器所绑定域名申请的证书信息--查看证书。

点击下载证书，选择PEM_Apache格式，并设置四位数字的解压缩密码。

在本地下载完毕后，双击打开，可看到有cer、crt以及key三个文件，选择解压到，设置路径后，输入刚在控制台上设置的四位数密码。

2.上传证书文件到服务器中

使用FTP或者其他工具将上一步中解压得到的cer、crt以及key文件上传到服务器的apche配置目录/etc/httpd/conf中

3.安装mod_ssl，并配置证书

因为是使用yum直接安装的apache，无法在安装的时候，直接编译添加ssl模块，需要再进行安装。

yum install mod_ssl openssl

安装之后，在/etc/httpd/conf.d下多了一个ssl.conf文件。

vim /etc/httpd/conf.d/ssl.conf

搜索ServerName 取消该行的注释，并修改域名为证书域名。

将证书三个文件的位置路径填写正确

重启httpd后，可通过https://域名打开该网站

4.http强制跳转https

因为是yum安装的，在apache的配置文件中没有ssl.so和httpd-ssl.conf模块路径，可手动添加rewrite规则实现。

vim vim /etc/httpd/conf/httpd.conf

在

......

中添加：

RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)?$ https://%{SERVER_NAME}/$1 [L,R]

再次重启apache后，访问网站时，http会强制跳转到https。

安装JKS格式证书

您可以将下载的证书安装到Tomcat服务器上。Tomcat支持PFX格式和JKS两种格式的证书，您可根据选您Tomcat的版本择其中一种格式的证书安装到Tomcat上。本文档介绍了JKS格式证书安装的具体步骤。

背景信息

本文档证书名称以domain.com为示例，如证书文件名称为domain.com.jks（百度智能云中的jks格式和pfx格式证书部署可以填写解压密码）。

操作指南

1. 登录百度智能云SSL证书控制台。
2. 在SSL证书页面，定位到需要下载的证书并单击证书条目右下角的查看证书

3. 打开后点击证书下载对话框。选择JKS格式并且键入证书压缩密码
4. 在Tomcat安装目录下新建cert目录，将证书文件拷贝到cert目录下
5. 打开Tomcat安装目录 > conf文件夹 > server.xml文件，在server.xml文件中找到

参考以下完整配置（其中port属性请根据您的实际情况修改）：

6. 保存server.xml文件配置。
7. （可选步骤）配置web.xml文件开启HTTP强制跳转HTTPS。

在< /welcome-file-list >后添加以下内容：

 
 CLIENT-CERT
 Client Cert Users-only Area




SSL
/*


 CONFIDENTIAL

8. 重启Tomcat。
9. 验证

证书安装完成后，可通过登录证书绑定域名的方式验证证书是否安装成功。

https://domain:port #domain name替换成证书绑定的域名,默认443端口可以忽略不输入

如果网页地址栏出现绿色小锁标志，表示证书安装成功。

验证证书是否安装成功时，如果网站无法通过https正常访问，需确认您安装证书的服务器443端口是否已开启或被其他工具拦截。

1. 您需要先将IIS要部署的证书下载到服务器，IIS需要使用.pfx格式证书，百度智能云证书下载方法如图：

2. 将证书上传到服务器中，如图

3. 打开IIS管理器--服务器证书，如图

4. 导入证书：

选择已经下载好的证书：

密码为下载证书时的“解压缩密码”：

5. 给站点绑定证书：

6. 验证https访问，没有不安全提示，可以正常使用https访问：