一、什么是 SSL 证书，什么是 HTTPS

SSL 证书是一种数字证书，它使用 Secure Socket Layer 协议在浏览器和 Web 服务器之间建立一条安全通道，从而实现：
1、数据信息在客户端和服务器之间的加密传输，保证双方传递信息的安全性，不可被第三方窃听；
2、用户可以通过服务器证书验证他所访问的网站是否真实可靠。

HTTPS 是以安全为目标的 HTTP 通道，即 HTTP 下加入 SSL 加密层。HTTPS 不同于 HTTP 的端口，HTTP默认端口为80，HTTPS默认端口为443。

二、SSL证书申请

以下是一些免费申请：
1、FreeSSL https://freessl.org/
2、百度云 https://cloud.baidu.com/product/cas.html
3、Wosign沃通SSL https://freessl.wosign.com/

三、使用 OpenSSL 生成 SSL Key 和 CSR 文件

配置 HTTPS 要用到私钥 privkey.key 文件和 certificate.crt 证书文件。
OpenSSL 命令可以生成。

openssl req -new -newkey rsa:2048 -sha256 -nodes -out certificate.csr -keyout privkey.key -subj "/C=CN/ST=ShenZhen/L=ShenZhen/O=Example Inc./OU=Web Security/CN=blog.21yt.cc"

参数说明：
C：Country ，单位所在国家，为两位数的国家缩写，如： CN 就是中国
ST 字段： State/Province ，单位所在州或省
L 字段： Locality ，单位所在城市 / 或县区
O 字段： Organization ，此网站的单位名称;
OU 字段： Organization Unit，下属部门名称;也常常用于显示其他证书相关信息，如证书类型，证书产品名称或身份验证类型或验证内容等;
CN 字段： Common Name ，网站的域名;

生成 csr 文件后，提供给 CA 机构，签署成功后，就会得到一個 certificate.crt 证书文件，SSL 证书文件获得后，就可以在 Nginx 配置文件里配置 HTTPS 了。

四、Nginx配置

server
    {
         #ssl参数
         listen 443 ssl;
         server_name blog.21yt.cc;

         #证书文件
         ssl_certificate     ./blog.21yt.cc/certificate.crt;
         #私钥文件
         ssl_certificate_key ./blog.21yt.cc/privkey.pem;

         ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
         ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
      
         ssl_prefer_server_ciphers on;
         ssl_session_cache shared:SSL:10m;
         ssl_session_timeout 10m;
         error_page 497  https://$host$request_uri;

         #强制浏览器使用HTTPS
         add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
         
         #max-age：设置单位（s）时间内強制使用 HTTPS 连接
         #includeSubDomains：可选，所有子域同时生效
         #preload：可选，非规范值，用于定义使用『HSTS 预加载列表』
         #always：可选，保证所有响应都发送此响应头，包括各种內置错误响应

         #SSL-END
         location / {
                 fastcgi_param HTTPS on;
                 index  index.html index.htm index.php;
         }
    }