替换https证书(脚本安装第7/11步)

        IdP3强制要求在通信过程中使用https加密,因此需要为IdP3配置https证书。

        此证书在用户浏览器访问IdP时使用,不替换证书会导致用户访问IdP时提示证书不受信,在对接CAS、Oauth2等认证的时候,有可能会因为CAS或者Oauth2服务器不信任IdP证书而跳转失败。该证书可以使用学校采购的商业证书。可以通过"EduPKI数字证书服务平台(https://edupki.51ssl.com/)",每个联盟学校可免费领取一张一年期CARSI IdP域名SSL OV证书,可无限次免费续期;也可以使用let‘s encrypt证书或从当地赛尔采购证书等。crt+key或者pem格式均可。

        将证书拷贝至/etc/nginx/certs/目录下。

[root@www ~]# vi /etc/nginx/nginx.conf
#修改以下两行,将server.crt替换成证书名称,将server.key替换成证书key
ssl_certificate "/etc/nginx/certs/server.crt";
ssl_certificate_key "/etc/nginx/certs/server.key";

#nginx重新加载配置
[root@www ~]# nginx -s reload

        证书配置完成后,可以用https://myssl.com/检测一下网站证书状态,查看证书链是否完整。不完整证书链有可能导致通信过程中报“证书不受信”错误,造成访问异常。


版权所有©北京大学计算中心