随着安全问题越来越被重视以及https的普及,现在搭建IT基础系统没理由不实现https。
ssl证书申请
这里建议使用腾讯云申请免费ssl证书,一年免费,单域名模式下。当然如果有预算直接买泛域名的更好。
腾讯云入口 选择免费证书
参照腾讯的说明验证通过后可以下载证书到本地,目录如下:
E:\DOOFEETECH\00.公司\IT运维\test.DOOFFE.COM
│ test.dooffe.com.csr
│
├─Apache
│ 1_root_bundle.crt
│ 2_test.dooffe.com.crt
│ 3_test.dooffe.com.key
│
├─IIS
│ test.dooffe.com.pfx
│
├─Nginx
│ 1_test.dooffe.com_bundle.crt
│ 2_test.dooffe.com.key
│
└─Tomcat
test.dooffe.com.jks
各种主流web服务器的都提供了,这里我们用nginx的。
nginx ssl编译
默认安装的nginx是不带ssl模块的,增量编译的过程如下:
# ./configure --prefix=/usr/local/nginx --with-http_ssl_module --user=root --group=root
# make
然后stop你的nginx进程后拷贝objs下的nginx覆盖就好。以下我的目录是/usr/local/nginx
# ./usr/local/nginx/sbin/nginx -s stop
# cp objs/nginx /usr/local/nginx/sbin/
# ./usr/local/nginx/sbin/nginx
nginx 配置
在nginx.conf里配置如下:
http {
include mime.types;
default_type application/octet-stream;
server_names_hash_bucket_size 320;
sendfile on;
include dooffe/*.conf;
}
这里主要是最后一句引入配置文件目录。因为我们的nginx是一个多站点的共用网关,这样可以让没一个站点单独一个配置文件避免互相干扰。
在上文include目录里新建配置文件test.dooffe.com.conf具体的站点配置如下:
# HTTPS server
server {
listen 80;
listen 443 ssl;
server_name test.dooffe.com;
ssl on;
ssl_certificate /usr/local/nginx/certs/1_test.dooffe.com_bundle.crt;
ssl_certificate_key /usr/local/nginx/certs/2_test.dooffe.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
# ssl_ciphers HIGH:!aNULL:!MD5;
# ssl_prefer_server_ciphers on;
if ($server_port = 80 ) {
return 301 https://$host$request_uri;
}
location / {
proxy_pass http://192.168.10.4:3000;
}
#让http请求重定向到https请求
error_page 497 https://$host$request_uri;
}
我们的网站应该是强制使用https的,但是有很多人会忘记输入https导致打开了http的站点从而看到404界面,极其不友好。所以我们的配置里加入了打开http站点自动跳转到https的部分。
网友评论