在Linux Nginx配置HTTPS

黄小怪

发布于 2018-05-21 18:01:31

2.6K0

发布于 2018-05-21 18:01:31

文章被收录于专栏：小怪聊职场小怪聊职场

一、公钥和私钥的获取

可以购买，可以自己生成，本文假设你已经有了公钥和私钥。

公钥和私钥的文件，欢迎访问http://yimian.me体验我们的产品

二、把SSL证书中的公钥和私钥放到服务器中的Nginx中

找到你需要配合HTTPS的服务器中的Nginx安装目录，把公钥和私钥文件放入到nginx/ssl中。使用Mac时的命令如下：

scp -P 22 /Users/huangtao/Documents/temp/yimian.cer root@服务器IP:/usr/local/nginx/conf/ssl/
scp -P 22 /Users/huangtao/Documents/temp/yimian.key root@服务器IP:/usr/local/nginx/conf/ssl/

正常放入之后，服务器中的目录如下：

root@iZbp119shkcx0jsks7pb8nZ:/usr/local/nginx/conf# tree
.
├── fastcgi.conf
├── fastcgi.conf.default
├── fastcgi_params
├── fastcgi_params.default
├── koi-utf
├── koi-win
├── mime.types
├── mime.types.default
├── nginx.conf
├── nginx.conf.default
├── scgi_params
├── scgi_params.default
├── ssl
│   ├── yimian.cer
│   └── yimian.key
├── uwsgi_params
├── uwsgi_params.default
└── win-utf

这里有一个插曲： 如果你是接手别人配置好的服务器，那么你首先需要找到服务器中的Nginx在哪。通过find / -name "nginx"找出服务器中的nginx安装目录，有时候会发现有好几个地方有nginx，如下：

有好几个nginx

一般情况下是这样：在/etc/nginx下的是通过yum或apt-get 安装的，其他目录下的应该是自己编译的nginx。我们需要确定的是目前服务器正在使用的是那个，不需要的最好是删除。找到我们使用的Nginx目录，比如在/usr/local/nginx/，进入conf目录，把yimian.cer、yimian.key放入到ssl里面。

当然，如果服务器没有安装Nginx，那么直接安装下即可。＝＝＝＝＝＝安装nginx start＝＝＝＝＝ sudo apt-get update sudo apt-get install nginx ＝＝＝＝＝＝安装nginx end＝＝＝＝＝

三、配置Nginx中的nginx.conf文件

nginx.conf是nginx的主配置文件，我们可以在这个文件中添加配置（这个配置文件有大小限制），也可以新建一个配置文件，再在nginx.conf把新配置文件include进去。例如，我们新建了一个配置文件yimian.conf，存放在/usr/local/nginx/sites-enabled/yimian.conf，那么在nginx.conf中就需要include进去，如下：

root@localhost:/usr/local/nginx/conf# cat nginx.conf 
user www-data;
worker_processes auto;
pid /run/nginx.pid;

events {
    worker_connections 768;
    # multi_accept on;
}

http {
    ##
    # Basic Settings
    ##

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    # server_tokens off;

    # server_names_hash_bucket_size 64;
    # server_name_in_redirect off;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    ##
    # SSL Settings
    ##

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
    ssl_prefer_server_ciphers on;

    ##
    # Logging Settings
    ##

    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;

    ##
    # Gzip Settings
    ##

    gzip on;
    gzip_disable "msie6";

    # gzip_vary on;
    # gzip_proxied any;
    # gzip_comp_level 6;
    # gzip_buffers 16 8k;
    # gzip_http_version 1.1;
    # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

    ##
    # Virtual Host Configs
    ##

    include /usr/local/nginx/conf.d/*.conf;
    include /usr/local/nginx/sites-enabled/*;
}

注意最后的include /usr/local/nginx/sites-enabled/*;

回到我们要说的ssl配置，见yimian.conf配置文件：

root@localhost:/usr/local/nginx/sites-enabled# cat yimian.conf 
server {
    listen      80; 
    server_name  yimian.me www.yimian.me;  
    # if ( $scheme = http ){
    #     return 301 https://$server_name$request_uri;
    # } 
    access_log  /var/log/yimianme.access.log;
    error_log   /var/log/yimianme.error.log;  
    location / {  
        proxy_pass http://程序的服务器IP:程序的端口/;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;   
        proxy_set_header REMOTE_ADDR $remote_addr; 
        proxy_set_header RealIP $remote_addr; 
        proxy_set_header server_name $server_name;
        proxy_set_header host $host;
        proxy_set_header REQUEST_URI $request_uri;  
        proxy_http_version 1.1;
        proxy_read_timeout 600; 
        proxy_set_header Connection "";      
    } 
    error_page   500 502 503 504  /50x.html; 
    location = /50x.html {
        root   html;
    }
}
###################HTTPS##################
server {
    listen      443;
    server_name  yimian.me www.yimian.me;
    ssl on;
    ssl_certificate /usr/local/nginx/conf/ssl/yimian.cer;
    ssl_certificate_key /usr/local/nginx/conf/ssl/yimian.key;
    access_log  /var/log/yimianme.access.log;
    error_log   /var/log/yimianme.error.log;
    location / {
        proxy_pass http://程序的服务器IP:程序的端口/;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE_ADDR $remote_addr;
        proxy_set_header RealIP $remote_addr;
        proxy_set_header server_name $server_name;
        proxy_set_header host $host;
        proxy_set_header REQUEST_URI $request_uri;
        proxy_http_version 1.1;
        proxy_read_timeout 600;
        proxy_set_header Connection "";
    }
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }
}

1、重点注意事项一 注释的内容是设置是否强制跳转到https。

if ( $scheme = http ){
    return 301 https://$server_name$request_uri;
}

2、重点注意事项二 ###################HTTPS##################中的内容是对应的公钥和私钥文件路径。

ssl_certificate /usr/local/nginx/conf/ssl/yimian.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/yimian.key;

3、重点注意事项三 proxy_pass对应的就是你这个域名真正要转发的IP地址。

proxy_pass http://程序的服务器IP:程序的端口/;

四、启动Nginx

至此，SSL已经配置完成，现在需要重启Nginx 重启 nginx -s reload

或Kill之后再启动 nginx -c /usr/local/nginx/conf/nginx.conf

检查启动结果 ps -ef | grep nginx

本文参与腾讯云自媒体分享计划，分享自作者个人站点/博客。

原始发表：2018.05.03 ，如有侵权请联系 cloudcommunity@tencent.com 删除

linux

nginx

https

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体分享计划，欢迎热爱写作的你一起参与！

linux

nginx

https

登录后参与评论

0 条评论

热度