準(zhǔn)備

1、服務(wù)器準(zhǔn)備：本文搭建使用的服務(wù)器是CentOS 7.6
2、安裝包準(zhǔn)備：需要GmSSL、國密Nginx，可通過互聯(lián)網(wǎng)下載或者從 https://download.csdn.net/download/m0_46665077/89936158 下載國密GmSSL安裝包和國密Nginx安裝包。

服務(wù)器安裝依賴包

服務(wù)器、安裝包準(zhǔn)備好了之后，先執(zhí)行如下命令安裝依賴包

yum install -y lrzsz tree screen psmisc lsof tcpdump wget ntpdate gcc gcc-c++ glibc glibc-devel pcre pcre-devel openssl openssl-devel systemd-devel net-tools iotop bc zip unzip zlib-devel bash-completion nfs-utils automake libxml2 libxml2-devel libxslt libxslt-devel perl perl-ExtUtils-Embed  

安裝GmSSL

1.將安裝包 GmSSL-master.zip 上傳到目標(biāo)機器 /root 目錄下，并解壓、編譯安裝，逐次執(zhí)行如下命令

unzip /root/GmSSL-master.zip
cd GmSSL-master/
./config --prefix=/usr/local/gmssl
make -j4 && sudo make install

2.調(diào)整軟連接，主要調(diào)整 libssl.so.1.1 和 libcrypto.so.1.1 庫文件鏈接 和 gmssl 快捷鏈接，不調(diào)整的執(zhí)行g(shù)mssl version會報錯

ln -s /usr/local/gmssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/gmssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
ln -sv /usr/local/gmssl/bin/gmssl  /usr/sbin/

3.查看gmssl版本，確保gmssl安裝成功

gmssl version

GmSSL安裝成功參考如下截圖

安裝Nginx（支持國密的版本）

1.將Nginx安裝包 nginx-1.21.6.zip 上傳到目標(biāo)機器 /root 目錄下，并解壓到 /usr/local/ 目錄，進入nginx目錄

unzip -d /usr/local/ nginx-1.21.6.zip
cd /usr/local/nginx-1.21.6/

2.編譯安裝nginx

./configure --prefix=/home/nginx \
--with-http_ssl_module \
--with-http_v2_module \
--with-http_realip_module \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--with-pcre \
--with-stream \
--with-stream_ssl_module \
--with-stream_realip_module \
--with-openssl=/usr/local/gmsslmake -j4 &&sudo make install

3.創(chuàng)建nginx的軟鏈接，并驗證nginx版本

ln -sv /home/nginx/sbin/nginx /usr/sbin
nginx -V

Nginx安裝成功參考如下截圖

至此，GmSSL、國密Nginx安裝完成

• GmSSL安裝路徑：/usr/local/gmssl
• Nginx安裝路徑、配置文件路徑：/home/nginx

Nginx配置

nginx開機啟動

1.配置 nginx 開機自啟，創(chuàng)建 /etc/systemd/system/nginx.service 的服務(wù)文件

sudo vim /etc/systemd/system/nginx.service#添加如下內(nèi)容：
[Unit]
Description=Nginx HTTP Server
After=network.target[Service]
Type=forking
ExecStart=/home/nginx/sbin/nginx -c /home/nginx/conf/nginx.conf
ExecReload=/home/nginx/sbin/nginx -s reload
ExecStop=/home/nginx/sbin/nginx -s stop
PrivateTmp=true[Install]
WantedBy=multi-user.target

2.保存文件，重新加載系統(tǒng)服務(wù)配置文件，并設(shè)置開機啟動Nginx服務(wù)

systemctl daemon-reload
systemctl start nginx
systemctl enable nginx  

約定證書命名和存放路徑

約定證書命名和存放路徑如下：
國密證書存放：/usr/local/gmssl/ssl/gm/

• 簽名證書命名：域名_sign.crt、域名_sign.key
• 加密證書命名：域名_enc.crt、域名_enc.key

國際RSA證書存放：/usr/local/gmssl/ssl/rsa/

• RSA證書命名：域名_rsa.crt、域名_rsa.key
  上傳簽名證書、加密證書、RSA證書到指定目錄

mkdir /usr/local/gmssl/ssl/gm
mkdir /usr/local/gmssl/ssl/rsa

簽發(fā)證書

可訪問 https://www.gmcrt.cn/gmcrt/index.jsp 簽發(fā)免費的國密測試證書，進行測試

創(chuàng)建nginx配置文件

1.創(chuàng)建 conf.d 文件（不創(chuàng)建的話，需要直接修改 nginx.conf 文件），讓 nginx.conf 主配置文件支持讀取以 conf 結(jié)尾的子配置文件

mkdir /home/nginx/conf/conf.d

2.創(chuàng)建nginx配置文件

vi  /home/nginx/conf/conf.d/test.conf#test.conf添加的配置如下
server{listen 443 ssl;server_name test.com;#國際RSA證書配置，若不需要可單獨刪除此部分ssl_certificate /usr/local/gmssl/ssl/rsa/test_rsa.crt;ssl_certificate_key /usr/local/gmssl/ssl/rsa/test_rsa.key;#國密證書配置，先配置簽名證書，再配置加密證書                           ssl_certificate /usr/local/gmssl/ssl/gm/test_sign.crt;ssl_certificate_key /usr/local/gmssl/ssl/gm/test_sign.key;        ssl_certificate /usr/local/gmssl/ssl/gm/test_enc.crt;ssl_certificate_key /usr/local/gmssl/ssl/gm/test_enc.key;ssl_session_cache    shared:SSL:1m;  #開啟緩存 大小1Mssl_session_timeout  5m;     # 指定客戶端可以重用會話參數(shù)的時間（超時之后不可使用）ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECC-SM4-SM3:ECDHE-SM4-SM3:SM2-WITH-SMS4-SM3:ECDHE-SM2-WITH-SMS4-GCM-SM3:HIGH:!aNULL:!MD5:!RC4:!DHE;ssl_prefer_server_ciphers on;ssl_verify_client off;location / {root   html;index  index.html index.htm;}
}

啟動nginx

ginx -c /home/nginx/conf/nginx.conf
nginx -s reload        #重新加載nginx配置

訪問測試

啟動Nginx后進行訪問測試