替换https证书(脚本安装第7/11步)
IdP3强制要求在通信过程中使用https加密,因此需要为IdP3配置https证书。
此证书在用户浏览器访问IdP时使用,不替换证书会导致用户访问IdP时提示证书不受信,在对接CAS、Oauth2等认证的时候,有可能会因为CAS或者Oauth2服务器不信任IdP证书而跳转失败。该证书可以使用学校采购的商业证书。可以通过"EduPKI数字证书服务平台(https://edupki.51ssl.com/)",每个联盟学校可免费领取一张一年期CARSI IdP域名SSL OV证书,可无限次免费续期;也可以使用let‘s encrypt证书或从当地赛尔采购证书等。crt+key或者pem格式均可。
将证书拷贝至/etc/nginx/certs/目录下。
[root@www ~]# vi /etc/nginx/nginx.conf #修改以下两行,将server.crt替换成证书名称,将server.key替换成证书key ssl_certificate "/etc/nginx/certs/server.crt"; ssl_certificate_key "/etc/nginx/certs/server.key"; #nginx重新加载配置 [root@www ~]# nginx -s reload
证书配置完成后,可以用https://myssl.com/检测一下网站证书状态,查看证书链是否完整。不完整证书链有可能导致通信过程中报“证书不受信”错误,造成访问异常。
版权所有©北京大学计算中心