HTTPS设置说明

为了安全起见，开放平台推荐开发者设置HTTPS回调接口地址。

如果开发者在云服务商(腾讯云，华为云，阿里云等)同时购买了云服务器和证书，可以根据云服务商的操作指引快速配置。此类配置方法请参考云服务商手册，在此不再赘述。

以下阐述通用的配置步骤，仅供开发者参考。

一、SSL证书申请

1、确认需要申请证书的域名

2、生成私钥和csr文件

在linux机器上执行以下命令生成私钥

#openssl genrsa -out server.key 2048

在linux机器上执行以下命令生成csr文件，需要说明的是，此处填写的信息仅供参考，请开发者根据自身情况自行填写:

#openssl req -new -key server.key -out certreq.csr
Country Name： CN                      //您所在国家的ISO标准代号，中国为CN
State or Province Name：guangdong       //您单位所在地省/自治区/直辖市
Locality Name：shenzhen                 //您单位所在地的市/县/区
Organization Name： Tencent Technology (Shenzhen) Company Limited                 //您单位/机构/企业合法的名称 
Organizational Unit Name： R&D         //部门名称 
Common Name： www.example.com     //通用名，例如：www.itrus.com.cn。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。
Email Address：                          //您的邮件地址，不必输入，直接回车跳过
"extra"attributes                        //以下信息不必输入，回车跳过直到命令执行完毕。

执行上面的命令后，在当前目录下即可生成私钥文件server.key和certreq.csr csr文件

3、将生成的csr文件提交给第三方证书颁发机构申请对应域名的服务器证书，同时将私钥文件保存好，以免丢失。

4、证书申请后，证书颁发机构会提供服务器证书内容和两张中级CA证书，请按证书颁发机器说明生成服务器证书，此处假设服务器证书文件名称为server.pem

5、将生成的私钥文件server.key和服务器证书server.pem拷贝至服务器指定的目录即可进行HTTPS服务器配置

二、HTTPS服务器配置

1、我们以Nginx为例，其https证书配置如下：

server {
    listen       443;   #指定ssl监听端口
    server_name  www.example.com;
    ssl on;    #开启ssl支持
    ssl_certificate      /etc/nginx/server.pem;    #指定服务器证书路径
    ssl_certificate_key  /etc/nginx/server.key;    #指定私钥证书路径
    ssl_session_timeout  5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;     #指定SSL服务器端支持的协议版本
    ssl_ciphers  ALL：!ADH：!EXPORT56：RC4+RSA：+HIGH：+MEDIUM：+LOW：+SSLv2：+EXP;    #指定加密算法
    ssl_prefer_server_ciphers   on;    #在使用SSLv3和TLS协议时指定服务器的加密算法要优先于客户端的加密算法
    #以下内容请按域名需要进行配置，此处仅供参考
    location / {
        return 444;
    }
}