一、公钥和私钥的获取
可以购买,可以自己生成,本文假设你已经有了公钥和私钥。
二、把SSL证书中的公钥和私钥放到服务器中的Nginx中
找到你需要配合HTTPS的服务器中的Nginx安装目录,把公钥和私钥文件放入到nginx/ssl中。
使用Mac时的命令如下:
scp -P 22 /Users/huangtao/Documents/temp/yimian.cer root@服务器IP:/usr/local/nginx/conf/ssl/
scp -P 22 /Users/huangtao/Documents/temp/yimian.key root@服务器IP:/usr/local/nginx/conf/ssl/
正常放入之后,服务器中的目录如下:
root@iZbp119shkcx0jsks7pb8nZ:/usr/local/nginx/conf# tree
.
├── fastcgi.conf
├── fastcgi.conf.default
├── fastcgi_params
├── fastcgi_params.default
├── koi-utf
├── koi-win
├── mime.types
├── mime.types.default
├── nginx.conf
├── nginx.conf.default
├── scgi_params
├── scgi_params.default
├── ssl
│ ├── yimian.cer
│ └── yimian.key
├── uwsgi_params
├── uwsgi_params.default
└── win-utf
这里有一个插曲:
如果你是接手别人配置好的服务器,那么你首先需要找到服务器中的Nginx在哪。
通过find / -name "nginx"找出服务器中的nginx安装目录,有时候会发现有好几个地方有nginx,如下:
一般情况下是这样:
在/etc/nginx下的是通过yum或apt-get 安装的,其他目录下的应该是自己编译的nginx。我们需要确定的是目前服务器正在使用的是那个,不需要的最好是删除。
找到我们使用的Nginx目录,比如在/usr/local/nginx/,进入conf目录,把yimian.cer、yimian.key放入到ssl里面。
当然,如果服务器没有安装Nginx,那么直接安装下即可。
======安装nginx start=====
sudo apt-get update
sudo apt-get install nginx
======安装nginx end=====
三、配置Nginx中的nginx.conf文件
nginx.conf是nginx的主配置文件,我们可以在这个文件中添加配置(这个配置文件有大小限制),也可以新建一个配置文件,再在nginx.conf把新配置文件include进去。
例如,我们新建了一个配置文件yimian.conf,存放在/usr/local/nginx/sites-enabled/yimian.conf,那么在nginx.conf中就需要include进去,如下:
root@localhost:/usr/local/nginx/conf# cat nginx.conf
user www-data;
worker_processes auto;
pid /run/nginx.pid;
events {
worker_connections 768;
# multi_accept on;
}
http {
##
# Basic Settings
##
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
# server_tokens off;
# server_names_hash_bucket_size 64;
# server_name_in_redirect off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
##
# Logging Settings
##
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
##
# Gzip Settings
##
gzip on;
gzip_disable "msie6";
# gzip_vary on;
# gzip_proxied any;
# gzip_comp_level 6;
# gzip_buffers 16 8k;
# gzip_http_version 1.1;
# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
##
# Virtual Host Configs
##
include /usr/local/nginx/conf.d/*.conf;
include /usr/local/nginx/sites-enabled/*;
}
注意最后的include /usr/local/nginx/sites-enabled/*;
回到我们要说的ssl配置,见yimian.conf配置文件:
root@localhost:/usr/local/nginx/sites-enabled# cat yimian.conf
server {
listen 80;
server_name yimian.me www.yimian.me;
# if ( $scheme = http ){
# return 301 https://$server_name$request_uri;
# }
access_log /var/log/yimianme.access.log;
error_log /var/log/yimianme.error.log;
location / {
proxy_pass http://程序的服务器IP:程序的端口/;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header REMOTE_ADDR $remote_addr;
proxy_set_header RealIP $remote_addr;
proxy_set_header server_name $server_name;
proxy_set_header host $host;
proxy_set_header REQUEST_URI $request_uri;
proxy_http_version 1.1;
proxy_read_timeout 600;
proxy_set_header Connection "";
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
###################HTTPS##################
server {
listen 443;
server_name yimian.me www.yimian.me;
ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/yimian.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/yimian.key;
access_log /var/log/yimianme.access.log;
error_log /var/log/yimianme.error.log;
location / {
proxy_pass http://程序的服务器IP:程序的端口/;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header REMOTE_ADDR $remote_addr;
proxy_set_header RealIP $remote_addr;
proxy_set_header server_name $server_name;
proxy_set_header host $host;
proxy_set_header REQUEST_URI $request_uri;
proxy_http_version 1.1;
proxy_read_timeout 600;
proxy_set_header Connection "";
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
1、重点注意事项一
注释的内容是设置是否强制跳转到https。
if ( $scheme = http ){
return 301 https://$server_name$request_uri;
}
2、重点注意事项二
###################HTTPS##################中的内容是对应的公钥和私钥文件路径。
ssl_certificate /usr/local/nginx/conf/ssl/yimian.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/yimian.key;
3、重点注意事项三
proxy_pass对应的就是你这个域名真正要转发的IP地址。
proxy_pass http://程序的服务器IP:程序的端口/;
四、启动Nginx
至此,SSL已经配置完成,现在需要重启Nginx
重启
nginx -s reload
或Kill之后再启动
nginx -c /usr/local/nginx/conf/nginx.conf
检查启动结果
ps -ef | grep nginx
