SSL（Secure Socket Layer，安全套接字層）證書是一種數(shù)字證書，用于加密網(wǎng)站與訪問者之間的數(shù)據(jù)傳輸。SSL證書是網(wǎng)站安全和可靠性的重要保證，是建立信任和保護用戶隱私的重要手段。其作用可以總結(jié)為以下幾點：

1. 數(shù)據(jù)安全：SSL證書能夠加密網(wǎng)站和客戶端之間的通信，保護敏感數(shù)據(jù)不被竊取或篡改。
2. 身份驗證：SSL證書能夠驗證網(wǎng)站的身份，確保用戶訪問的是真實的、受信任的網(wǎng)站，而不是惡意網(wǎng)站。
3. 提高信任度：擁有SSL證書的網(wǎng)站將獲得瀏覽器的安全標志，如綠色鎖頭，增加用戶對網(wǎng)站的信任度和滿意度。
4. seo優(yōu)化：谷歌將SSL證書視為網(wǎng)站安全性的重要指標，并將其作為SEO排名的一個因素，擁有SSL證書的網(wǎng)站在搜索引擎中的排名更有優(yōu)勢。

常見的SSL證書包括以下幾種：

1. 域名驗證證書（DomAIn Validated Certificate，DVC）：只驗證域名的所有權(quán)，是最基本的SSL證書，適用于小型網(wǎng)站或非商業(yè)網(wǎng)站。
2. 組織驗證證書（Organization Validated Certificate，OVC）：需要驗證域名的所有權(quán)和組織的合法性，適用于中型商業(yè)網(wǎng)站。
3. 擴展驗證證書（Extended Validation Certificate，EVC）：需要驗證域名的所有權(quán)、組織的合法性以及更嚴格的標準，如證明公司實體存在等，適用于大型商業(yè)網(wǎng)站和金融機構(gòu)等。
4. 通配符證書（Wildcard Certificate）：適用于一個域名下多個子域名的SSL證書。
5. 多域名證書（Multi-Domain Certificate）：適用于同一SSL證書下綁定多個域名的情況，也稱為SAN證書（Subject Alternative Name Certificate）。
6. 代碼簽名證書（Code Signing Certificate）：用于保護軟件或應(yīng)用程序，驗證軟件的來源和完整性。

1. 創(chuàng)建Nginx宿主機掛載目錄并賦權(quán)

mkdir -p /opt/container/nginx/html /opt/container/portal /opt/container/nginx/www /opt/container/nginx/logs /opt/container/nginx/etc /etc/ssl/nginx

chmod -R 777 /opt/container/nginx/html /opt/container/portal /opt/container/nginx/www /opt/container/nginx/logs /opt/container/nginx/etc /etc/ssl/nginx

1234

2. 默認映射沒有配置文件，需要將容器中的配置文件復制到目錄下

  通過Docker安裝的Nginx，映射的目錄往往沒有默認的配置文件和頁面，如果隨便從其他位置復制，如果配置文件版本不同，會導致Nginx無法訪問。為了解決這個問題，先創(chuàng)建一個Nginx容器，將配置文件和默認的頁面提前復制到宿主機的映射目錄，再把容器刪除即可。我們只是用到它的默認配置文件和頁面，后面步驟是具體搭建Nginx。

docker pull nginx
docker run --name nginx -p 80:80 -d nginx
# 復制nginx默認頁面
docker cp nginx:/usr/share/nginx/html/* /opt/container/nginx/html
# 復制 所有的配置文件
docker cp nginx:/etc/nginx/* /opt/container/nginx/etc

# 用完之后，把容器刪除
docker stop 容器id
docker rm 容器id
12345678910

3. 編寫docker-compose-nginx.yml文件

  習慣用docker-compose搭建Docker服務(wù)，感覺可以對配置等內(nèi)容留檔，當然你也可以選擇直接使用Docker命令創(chuàng)建Nginx。

• /opt/container/nginx/html 映射Nginx默認頁面存放目錄
• /opt/container/portal 映射開發(fā)的應(yīng)用前端頁面存放目錄
• /etc/ssl/nginx 存放Nginx SSL證書

（二選一）docker-compose的方式創(chuàng)建Nginx:

version: '3'
services:
    ##nginx配置
    nginx:
      image: nginx:latest
      restart: always
      container_name: nginx
      environment:
        - TZ=Asia/Shanghai
      ports:
        - 8000:80
        - 4443:443
      volumes:
        - /opt/container/nginx/html:/usr/share/nginx/html/
        - /opt/container/portal:/nginx/html/
        - /opt/container/nginx/www:/var/www
        - /opt/container/nginx/logs:/var/log/nginx
        - /opt/container/nginx/etc:/etc/nginx
        - "/etc/localtime:/etc/localtime"
        - "/usr/share/zoneinfo/Asia/Shanghai:/etc/timezone"
        - /etc/ssl/nginx:/nginx/ssl
123456789101112131415161718192021

（二選一）docker命令的方式創(chuàng)建Nginx:

docker run 
-p 80:80 
-p 443:443 
--name=nginx 
-e TZ="Asia/Shanghai" 
--restart=always 
-v /opt/container/nginx/html:/usr/share/nginx/html 
-v /opt/container/portal:/nginx/html 
-v /opt/container/nginx/www:/var/www 
-v /opt/container/nginx/logs:/var/log/nginx 
-v /opt/container/nginx/etc:/etc/nginx 
-v /etc/localtime:/etc/localtime 
-v /usr/share/zoneinfo/Asia/Shanghai:/etc/timezone 
-v /etc/ssl/nginx:/nginx/ssl 
-d nginx:latest
123456789101112131415

4. docker-compose啟動Nginx命令

如果使用docker命令安裝，則不需要這一步驟。

cd /opt/software
docker-compose -f docker-compose-nginx.yml up -d
12

5. 在云服務(wù)器上申請免費的SSL證書，各大云服務(wù)器廠商都可以免費申請，這里以阿里云為例，免費申請SSL證書

• 登錄阿里云控制臺，進入[數(shù)字證書管理服務(wù)] > [SSL證書] > [免費證書]

• 點擊 [創(chuàng)建證書] > [證書申請]，然后按要求填寫申請信息，然后提交審核

• 等待申請通過，在證書列表中，就會看到已申請的SSL證書，然后點擊下載按鈕，選擇需要部署的服務(wù)器類型，我們這里使用的是nginx，所以選擇下載nginx服務(wù)器類型的SSL證書。

• 下載成功后，可以得到一個包含域名的zip包，里面有.key和.pem文件

6. 將下載的SSL證書.key和.pem文件上傳到linux服務(wù)器/etc/ssl/nginx目錄，這里因為我們創(chuàng)建docker容器時指定的映射目錄是這個。

7. 修改nginx.conf配置文件，將證書配置到對應(yīng)域名配置中，然后重啟nginx服務(wù)，域名就可以通過https訪問了。

    server {
        listen 80;
        listen 443 ssl;
        ssl_certificate /nginx/ssl/證書名稱.pem;
        ssl_certificate_key /nginx/ssl/證書名稱.key;
        server_name  域名;

        gzip on;
        gzip_buffers 32 4K;
        gzip_comp_level 6;
        gzip_min_length 100;
        gzip_types Application/JAVAscript text/css text/xml text/plain application/x-JavaScript image/jpeg image/gif image/png;
        gzip_disable "MSIE [1-6]."; 
        gzip_vary on;
        #charset koi8-r;
        access_log  /var/log/nginx/portal.access.log  main;
        location / {
            proxy_set_header Host $http_host;               
            proxy_set_header X-Real-Ip $remote_addr;
            proxy_set_header REMOTE-HOST $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass http://172.17.0.1:8080/;
        }
    }

免費證書的優(yōu)勢通常包括以下幾點：

1. 節(jié)省成本：免費證書不需要支付任何費用，可以為企業(yè)和個人節(jié)省一定的成本。
2. 風險低：雖然免費證書的安全性可能沒有付費證書高，但是使用免費證書也可以提高網(wǎng)站的加密度，降低網(wǎng)站的風險。
3. 簡單易用：免費證書通常非常容易申請和安裝，無需太多的技術(shù)知識。
4. 全球范圍內(nèi)認可：雖然免費證書是免費的，但是它們通常具有與付費證書相同的加密等級和瀏覽器兼容性。這意味著它們在全球范圍內(nèi)得到認可和接受。
5. 短期有效期：免費證書的有效期通常比付費證書短，需要更頻繁地更新或重新申請，但這也可以確保證書的安全性和有效性。

  免費的證書有效期只有一年，而且是單域名證書，對于小型項目或者剛剛起步的網(wǎng)站，可以節(jié)省成本，就是在操作上需要每年重新申請一次。一般云服務(wù)廠商都會有證書申請個數(shù)限制，但對于初期項目來說基本夠用了。