nginx

前提： 3个文件 - domain.csr、domain.key、xxx.cer

简述：
1. 本地生成 .key文件  [附件]
2. 再利用key文件，生成csr(certificate Secure Request)文件，证书请求文件。[附件]
    同时，csr是公钥。
    同时，csr提供给 CA。
3. CA会返回证书（邮件形式）。[附件] [最下面的证书]

安装：
1. 配置 nginx

  1 upstream openapi_test_https { # 负载均衡
  2   server 127.0.0.1:11500;
  3   server 127.0.0.1:11501;
  4 }
  5
  6 server {
  7   listen 443;
  8   server_name api.a.com;
  9
 10   ssl on;
 11   ssl_certificate /root/lz/ssl/gs_intermediate_ca.cer;     # 注意权限，可以放到 /etc/nginx/ssl
 12   ssl_certificate_key /root/lz/ssl/domain.key;                # 注意权限，可以放到 /etc/nginx/ssl
 13
 14   root /var/www/a/api;
 15   access_log /var/log/nginx/api.log main;
 16   error_log /var/log/nginx/api_error.log;
 17
 18   location / {
 19     proxy_pass_header Server;
 20     proxy_set_header Host $http_host;
 21     proxy_set_header X-Real-IP $remote_addr;
 22     proxy_set_header X-Scheme $scheme;
 23     proxy_redirect off;
 24     proxy_connect_timeout   10;
 25     proxy_send_timeout      120;
 26     proxy_read_timeout      120;
 27     proxy_pass http://openapi_test;
 28     proxy_next_upstream error;
 29   }
 30
 31 }

2. .cer文件是下面 ssl证书 与 中级域名证书的拼接。[附件，拼接有顺序，如下：]

-----BEGIN CERTIFICATE-----
#Your GlobalSign SSL Certificate#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#GlobalSign Intermediate Certificate#
-----END CERTIFICATE-----

3. 检查nginx配置文件，sudo nginx -t
4. 如果NO.3 通过，加载配置文件，不用重启nginx。sudo /etc/init.d/nginx reload

——优化追加——

追加优化配置。优化，增加session机制，nginx不会重复加密以前的请求，直接采用session缓存。
line 13 和 line 14是缓存优化。
首先增加缓存大小10M。
其次，缓存时间设置10分钟。默认是5分钟。

  1 upstream openapi_test_https {
  2   server 127.0.0.1:11500;
  3   server 127.0.0.1:11501;
  4 }
  5
  6 server {
  7   listen 443;
  8   server_name api.a.com;
  9
 10   ssl on;
 11   ssl_certificate /root/lz/ssl/gs_intermediate_ca.cer;
 12   ssl_certificate_key /root/lz/ssl/domain.key;
 13   ssl_session_cache    shared:SSL:10m;
 14   ssl_session_timeout  10m;
 15
 16   root /var/www/a/api;
 17   access_log /var/log/nginx/api.log main;
 18   error_log /var/log/nginx/api_error.log;
 19
 20   location / {
 21     proxy_pass_header Server;
 22     proxy_set_header Host $http_host;
 23     proxy_set_header X-Real-IP $remote_addr;
 24     proxy_set_header X-Scheme $scheme;
 25     proxy_redirect off;
 26     proxy_connect_timeout   10;
 27     proxy_send_timeout      120;
 28     proxy_read_timeout      120;
 29     proxy_pass http://openapi_test;
 30     proxy_next_upstream error;
 31   }
 32 }

 

——END——