• nginx配置ssl证书


    Linux下 nginx配置ssl证书实现https访问

    配置ssl证书之前,先准备SSL证书,至于获取的途径很多(阿里云的服务,第三方服务购买)。这里不详细解释。以下是我的SSL证书 
    这里写图片描述

    准备好证书后,找到nginx的安装目录,我的安装位置为:/usr/local/nginx 
    这里写图片描述

    进入 config/nginx.conf 
    如果没有装winscp(一款可视化文件操作工具)的。可以通过命令行的方式,编辑nginx的config文件。

    开始配置文件的修改 
    在修改配置文件之前,最好做一个备份,防止修改错误,也能及时回退错误

    1、找到第一个监听80端口的server:一下是我修改好的server

        server {
            listen       80;
            server_name  需要访问的域名;
    
            rewrite ^(.*) https://$server_name$1 permanent; #这句是代表 把http的域名请求转成https
    
            #charset koi8-r;
            #access_log  logs/host.access.log  main;
            location / {
                root   html;
                index  index.html index.htm;
                proxy_pass   http://需要访问的域名; #因为这里还是80端口,所以保持http就可以了
    
            }
        }
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15

    在实际的配置文件中,最好把我上面的备注删除

    2、第一个server修改好了之后。那么就需要开始配置第二个server。拉到文件的底部。看到有一个https类型的server。而且已经全部被注释封上了,这是我们需要改的第二个server,如图: 
    这里写图片描述

    这里除了HTTPS server这行之外,其他的 # 删除,启动https模块

        # HTTPS server
        #
        server {
            listen       443 ssl;
            server_name  需要访问的域名,这里也不用加https;
    
            ssl on;
    
            ssl_certificate      /usr/local/nginx/ssl/ssl.pem;  #这里是ssl key文件存放的绝对路径,根据自己的文件名称和路径来写
            ssl_certificate_key  /usr/local/nginx/ssl/ssl.key;  #这里是ssl key文件存放的绝对路径,根据自己的文件名称和路径来写
    
            ssl_session_cache    shared:SSL:1m;
            ssl_session_timeout  5m;
    
            ssl_ciphers  HIGH:!aNULL:!MD5;
            ssl_prefer_server_ciphers  on;
    
            location / {
                proxy_pass   http://需要访问的域名:8080/;
            }
        }
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21

    配置好后,nginx的配置就算是完成了。不过这只是配置ssl证书的第一步!


    接下来就是要让配置文件生效:

    1、进去nginx的sbin文件夹,我的sbin文件夹在:/usr/local/nginx/sbin 
    执行以下语句:检验配置文件是否有错误

    ./nginx -t
    • 1

    如果nginx曾经安装过SSL模块,那么应该会显示以下界面:(如果已经显示配置成功,那么可以跳过这一步,直接重启nginx就可以了) 
    这里写图片描述 
    可是大多数第一次安装https证书,都会报错,说缺少SSL模块,如下: 
    这里写图片描述

    2、这时候我们就可以先安装SSL模块: 
    先确认2个位置: 
    1)我的nginx是安装在了/usr/local/nginx/下 
    2)我的nginx的源码包放在了/usr/local/nginx/nginx/nginx-1.8.0下。如果没有的话,重新下载你对应的nginx版本的源码包,找个目录解压

    3、目录切换到我们的源码包安装位置:

    cd /usr/local/nginx/nginx/nginx-1.8.0
    • 1

    4、执行语句,重新安装ssl模块:

    ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
    • 1

    这时候可能又会有点小插曲,启动ssl模块的时候,报错了: 
    这里写图片描述 
    看到了error。就知道linux安装失败,停止了。这个错误是因为我们没有安装openssl openssl-devel(如果这一步没有报错的话,可以跳过下面的安装openssl-devel的步骤)

    5、那么可以先执行安装openssl openssl-devel语句:

    yum -y install openssl openssl-devel
    • 1

    安装上了 openssl-devel后,重新执行:./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

    6、这时候应该就执行配置成功了。配置成功后,那么就需要编译我们的配置。(注意这里只能用make 而不要用make install,因为执行make install是覆盖安装的意思) 
    运行:

    make
    • 1

    等待执行完成后,我们需要把新编译的nginx模块替换原来的nginx。

    7、还是老规矩,先备份旧的nginx,执行语句(这里面复制的文件的路径需要根据你们安装的目录自行修改,如果和我安装的路径是一样的那么可以直接运行该语句):

    cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
    • 1

    8、关闭nginx(因为要把新的模块覆盖旧的nginx)

    先找到nginx端口号,如图,目前我nginx的进程号为:13542

    ps -ef|grep nginx
    • 1

    这里写图片描述 
    杀死该进程就可以了,执行语句:

    kill -QUIT 13542
    • 1

    9、关闭nginx进程后就可以开始替换了(注意:我当前的位置是在我nginx的源码包中,目录不要搞错了) 
    这里写图片描述 
    执行:(复制到我的nginx的目录中)

    cp ./objs/nginx /usr/local/nginx/sbin/
    • 1

    然后就是启动nginx。在启动之前,也可以在测试一次配置文件是否已经生效:

    #先切换到sbin目录
    cd /usr/local/nginx/sbin/
    #检测nginx的配置文件是否有错误
    ./niginx -t
    • 1
    • 2
    • 3
    • 4

    看到这样的,就是已经成功了 
    这里写图片描述

    最后启动nginx:

    /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
    • 1

    因为刚才替换nginx模块的时候是把nginx进程都杀死了,所以要用上面的命令进行启动,而不能使用reload重启。

    nginx正常启动后,我们在访问我们的网站,发现https就已经配置好了: 
    这里写图片描述


    小拓展: 
    刚才配置nginx的时候是直接在配置文件上做修改,其实我们可以把小的配置抽离出去,尽量保持原配置文件不被修改

    我们可以在原有配置文件中,加上这句(注意作用域范围,是引入到http的{}之内):

    include vhost/*.conf;
    • 1

    接下来,需要找到对应的配置文件,因为我们这里的路径是直接 vhost。所以在配置文件同级目录,新建一个 vhost 文件夹,而且我们引入的是 *.conf 。意思就是引入vhost中所有后缀是.conf的配置文件: 
    这里写图片描述

    在配置文件中,加上我们刚才教程提到的配置:

        server {
            listen       80;
            server_name  需要访问的域名(不加http头);
    
            rewrite ^(.*) https://$server_name$1 permanent;
    
            #charset koi8-r;
            #access_log  logs/host.access.log  main;
            location / {
                root   html;
                index  index.html index.htm;
                proxy_pass   http://需要访问的域名
    
            }
        }
    
        # HTTPS server
        #
        server {
            listen       443 ssl;
            server_name  需要访问的域名;
    
            ssl on;
    
            ssl_certificate      /usr/local/nginx/ssl/ssl.pem;
            ssl_certificate_key  /usr/local/nginx/ssl/ssl.key;
    
            ssl_session_cache    shared:SSL:1m;
            ssl_session_timeout  5m;
    
            ssl_ciphers  HIGH:!aNULL:!MD5;
            ssl_prefer_server_ciphers  on;
    
            location / {
                proxy_pass   http://需要访问的域名:8080/;
            }
        }
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37

    保存后,也是使用nginx -t测试配置文件是否成功,成功后重启nginx即可。

    如果有多个二级域名,那么就复制多份 xx.conf文件即可,配置文件会自动引入到nginx的配置中,不过每次新增配置文件都需要检测一遍,然后重启nginx

  • 相关阅读:
    python 基础 7.1 datetime 获得时间
    Python 学习笔记12
    Python 学习笔记11
    Python 学习笔记10
    Python 学习笔记9
    Python 学习笔记8
    Python 学习笔记7
    Python 学习笔记6
    Python 学习笔记5
    Python 学习笔记4
  • 原文地址:https://www.cnblogs.com/xiexun/p/10737495.html
Copyright © 2020-2023  润新知