【Nginx】如何使用自签CA配置HTTPS加密反向代理访问？看了这篇我会了！！

作者个人研发的在高并发场景下，提供的简单、稳定、可扩展的延迟消息队列框架，具有精准的定时任务和延迟队列处理功能。自开源半年多以来，已成功为十几家中小型企业提供了精准定时调度方案，经受住了生产环境的考验。为使更多童鞋受益，现给出开源框架地址：

https://github.com/sunshinelyz/mykit-delay

PS: 欢迎各位Star源码，也可以pr你牛逼哄哄的代码。

写在前面

随着互联网的发展，很多公司和个人越来越重视网络的安全性，越来越多的公司采用HTTPS协议来代替了HTTP协议。为何说HTTPS协议比HTTP协议安全呢？小伙伴们自行百度吧！我就不说了。今天，我们就一起来聊聊如何使用自签CA配置Nginx的HTTPS加密反向代理。咳咳，小伙伴们快上车。 如果这篇文章对你有所帮助，请文末留言，点个赞，给个在看和转发，大家的支持是我持续创作的最大动力！

Nginx实现HTTPS

出于安全访问考虑，采用的CA是本机Openssl自签名生成的，因此无法通过互联网工信Root CA验证，所以会出现该网站不受信任或安全证书无效的提示，直接跳过，直接访问即可！

HTTPS的原理和访问过程

服务器必要条件

• 一个服务器私钥 KEY文件
• 一张与服务器域名匹配的CA证书（公钥，根据私钥key生成）

访问过程

(1)客户端浏览器通过https协议访问服务器的443端口，并获得服务器的证书（公钥）；客户端浏览器这时候会去找一些互联网可信的RootCA（权威证书颁发机构）验证当前获取到的证书是否合法有效，PS：这些RootCA是随操作系统一起预设安装在了系统里面的；

(2)如果RootCA验证通过，表示该证书是可信的，并且若证书中标注的服务器名称与当前访问的服务器URL地址一致，就会直接使用该证书中包含的公钥解密服务器通过自己的KEY（私钥）加密后传输过来的网页内容，从而正常显示页面内容；

(3)如果RootCA验证不通过，说明该证书是未获得合法的RootCA签名和授权，因此也就无法证明当前所访问的服务器的权威性，客户端浏览器这时候就会显示一个警告，提示用户当前访问的服务器身份无法得到验证，询问用户是否继续浏览！（通常自签名的CA证书就是这种情况）

这里需要注意，验证CA的有效性，只是证明当前服务器的身份是否合法有效，是否具有公信力以及身份唯一性，防止其他人仿冒该网站；但并不会影响到网页的加密功能，尽管CA证书无法得到权威证明，但是它所包含的公钥和服务器上用于加密页面的私钥依然是匹配的一对，所以服务器用自己的私钥加密的网页内容，客户端浏览器依然是可以用这张证书来解密，正常显示网页内容，所以当用户点击“继续浏览此网站（不推荐）”时，网页就可以打开了；

自签名CA证书生成

1.用Openssl随机生成服务器密钥，和证书申请文件CSR

2.自己给自己签发证书

在服务器命令行输入如下命令办法证书。

#opensslx509 -req -days 3650 -in moonfly.net.csr -signkeymoonfly.net.key -outmoonfly.net.crt 

• -days 3650 证书的有效期，自己给自己颁发证书，想有多久有效期，就弄多久，我一下弄了10年的有效期；
• -inmoonfly.net.csr指定CSR文件
• -signkeymoonfly.net.key指定服务器的私钥key文件
• -outmoonfly.net.crt 设置生成好的证书文件名

一条命令，自己给自己压钢印的身份证 moonfly.net.crt 就诞生了！

注：其实严格来讲，这里生成的只是一张RootCA，并不是严格意义上的服务器证书ServerCA，真正的ServerCA是需要利用这张RootCA再给服务器签署办法出来的证书才算；不过我们这里只讲如何实现网页的SSL加密，所以就直接使用RootCA了，也是能正常实现加密功能的！

Nginx启用HTTPS

配置文件修改完毕后，用nginx -t 测试下配置无误，就reload一下nginx服务，检查443端口是否在监听：

配置完毕，https已经在工作了，现在可以通过https访问网站了