在Linux Nginx配置HTTPS

一、公钥和私钥的获取

可以购买,可以自己生成,本文假设你已经有了公钥和私钥。

公钥和私钥的文件,欢迎访问http://yimian.me体验我们的产品

二、把SSL证书中的公钥和私钥放到服务器中的Nginx中

找到你需要配合HTTPS的服务器中的Nginx安装目录,把公钥和私钥文件放入到nginx/ssl中。 使用Mac时的命令如下:

scp -P 22 /Users/huangtao/Documents/temp/yimian.cer root@服务器IP:/usr/local/nginx/conf/ssl/
scp -P 22 /Users/huangtao/Documents/temp/yimian.key root@服务器IP:/usr/local/nginx/conf/ssl/

正常放入之后,服务器中的目录如下:

root@iZbp119shkcx0jsks7pb8nZ:/usr/local/nginx/conf# tree
.
├── fastcgi.conf
├── fastcgi.conf.default
├── fastcgi_params
├── fastcgi_params.default
├── koi-utf
├── koi-win
├── mime.types
├── mime.types.default
├── nginx.conf
├── nginx.conf.default
├── scgi_params
├── scgi_params.default
├── ssl
│   ├── yimian.cer
│   └── yimian.key
├── uwsgi_params
├── uwsgi_params.default
└── win-utf

这里有一个插曲: 如果你是接手别人配置好的服务器,那么你首先需要找到服务器中的Nginx在哪。 通过find / -name "nginx"找出服务器中的nginx安装目录,有时候会发现有好几个地方有nginx,如下:

有好几个nginx

一般情况下是这样: 在/etc/nginx下的是通过yum或apt-get 安装的,其他目录下的应该是自己编译的nginx。我们需要确定的是目前服务器正在使用的是那个,不需要的最好是删除。 找到我们使用的Nginx目录,比如在/usr/local/nginx/,进入conf目录,把yimian.cer、yimian.key放入到ssl里面。

当然,如果服务器没有安装Nginx,那么直接安装下即可。 ======安装nginx start===== sudo apt-get update sudo apt-get install nginx ======安装nginx end=====


三、配置Nginx中的nginx.conf文件

nginx.conf是nginx的主配置文件,我们可以在这个文件中添加配置(这个配置文件有大小限制),也可以新建一个配置文件,再在nginx.conf把新配置文件include进去。 例如,我们新建了一个配置文件yimian.conf,存放在/usr/local/nginx/sites-enabled/yimian.conf,那么在nginx.conf中就需要include进去,如下:

root@localhost:/usr/local/nginx/conf# cat nginx.conf 
user www-data;
worker_processes auto;
pid /run/nginx.pid;

events {
    worker_connections 768;
    # multi_accept on;
}

http {
    ##
    # Basic Settings
    ##

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    # server_tokens off;

    # server_names_hash_bucket_size 64;
    # server_name_in_redirect off;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    ##
    # SSL Settings
    ##

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
    ssl_prefer_server_ciphers on;

    ##
    # Logging Settings
    ##

    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;

    ##
    # Gzip Settings
    ##

    gzip on;
    gzip_disable "msie6";

    # gzip_vary on;
    # gzip_proxied any;
    # gzip_comp_level 6;
    # gzip_buffers 16 8k;
    # gzip_http_version 1.1;
    # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

    ##
    # Virtual Host Configs
    ##

    include /usr/local/nginx/conf.d/*.conf;
    include /usr/local/nginx/sites-enabled/*;
}

注意最后的include /usr/local/nginx/sites-enabled/*;

回到我们要说的ssl配置,见yimian.conf配置文件:

root@localhost:/usr/local/nginx/sites-enabled# cat yimian.conf 
server {
    listen      80; 
    server_name  yimian.me www.yimian.me;  
    # if ( $scheme = http ){
    #     return 301 https://$server_name$request_uri;
    # } 
    access_log  /var/log/yimianme.access.log;
    error_log   /var/log/yimianme.error.log;  
    location / {  
        proxy_pass http://程序的服务器IP:程序的端口/;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;   
        proxy_set_header REMOTE_ADDR $remote_addr; 
        proxy_set_header RealIP $remote_addr; 
        proxy_set_header server_name $server_name;
        proxy_set_header host $host;
        proxy_set_header REQUEST_URI $request_uri;  
        proxy_http_version 1.1;
        proxy_read_timeout 600; 
        proxy_set_header Connection "";      
    } 
    error_page   500 502 503 504  /50x.html; 
    location = /50x.html {
        root   html;
    }
}
###################HTTPS##################
server {
    listen      443;
    server_name  yimian.me www.yimian.me;
    ssl on;
    ssl_certificate /usr/local/nginx/conf/ssl/yimian.cer;
    ssl_certificate_key /usr/local/nginx/conf/ssl/yimian.key;
    access_log  /var/log/yimianme.access.log;
    error_log   /var/log/yimianme.error.log;
    location / {
        proxy_pass http://程序的服务器IP:程序的端口/;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE_ADDR $remote_addr;
        proxy_set_header RealIP $remote_addr;
        proxy_set_header server_name $server_name;
        proxy_set_header host $host;
        proxy_set_header REQUEST_URI $request_uri;
        proxy_http_version 1.1;
        proxy_read_timeout 600;
        proxy_set_header Connection "";
    }
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }
}

1、重点注意事项一 注释的内容是设置是否强制跳转到https。

if ( $scheme = http ){
    return 301 https://$server_name$request_uri;
}

2、重点注意事项二 ###################HTTPS##################中的内容是对应的公钥和私钥文件路径。

ssl_certificate /usr/local/nginx/conf/ssl/yimian.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/yimian.key;

3、重点注意事项三 proxy_pass对应的就是你这个域名真正要转发的IP地址。

proxy_pass http://程序的服务器IP:程序的端口/;

四、启动Nginx

至此,SSL已经配置完成,现在需要重启Nginx 重启 nginx -s reload

或Kill之后再启动 nginx -c /usr/local/nginx/conf/nginx.conf

检查启动结果 ps -ef | grep nginx

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏阮一峰的网络日志

HTTPS 升级指南

上一篇文章我介绍了 HTTP/2 协议 ,它只有在 HTTPS 环境才会生效。 为了升级到 HTTP/2 协议,必须先启用 HTTPS。如果你不了解 HTTPS...

37350
来自专栏活动介绍栏目

php之laravel项目中使用腾讯云短信

进入该网址 :腾讯云短信控制台->  https://console.cloud.tencent.com/sms

43900
来自专栏小夜博客

LNMP环境配置SSL证书最简单教程

1.2K130
来自专栏向治洪

Android开发中的安全

根据Android四大框架来解说安全机制 代码安全 java不同于C/C++,java是解释性语言,存在代码被反编译的隐患; 默认混淆器为progua...

21390
来自专栏云计算教程系列

如何使用CentOS 7上的Let's Encrypt来保护Nginx

Let's Encrypt是一个新的证书颁发机构(CA),它提供了一种获取和安装免费TLS / SSL证书的简便方法,从而在Web服务器上启用加密的HTTPS。...

26300
来自专栏张戈的专栏

Linux+Nginx/Apache/Tomcat新增SSL证书,开启https访问教程

上上篇文章《nginx 平滑升级&新增模块》提到了公司的 https 访问需求。当我新增了 SSL 模块之后,却发现以前还真没部署过 https 访问。 下面整...

1.1K70
来自专栏Python、Flask、Django

Mac Navicat破解版安装

13140
来自专栏云计算教程系列

如何在Ubuntu上使用SSL来保护Nginx

腾讯云SSL是腾讯云的证书颁发服务,SSL证书(SSL Certificates)提供了安全套接层(SSL)证书的一站式服务,包括证书申请、管理及部署功能,与顶...

60520
来自专栏蓝天

Ssh,scp自动登陆方法

Ssh,scp自动登陆方法 ########################### A为本地主机(即用于控制其他主机的机器) ; B为远程主机(即被控制的机...

12330
来自专栏云计算教程系列

加固你的Roundcube服务器

Roundcube是一个Webmail客户端,具有强大的安全功能和来自其插件存储库的广泛自定义选项。本文介绍如何进一步保护基本的现有Roundcube安装。

35800

扫码关注云+社区

领取腾讯云代金券