美文网首页Linux
SSL证书 - 基于Nginx配置HTTPS

SSL证书 - 基于Nginx配置HTTPS

作者: 神经骚栋 | 来源:发表于2021-03-07 18:31 被阅读0次

    前言


    前段时间买了一台服务器,搞了一个博客系统,但是苦于没有SSL证书,导致访问的过程一直是没有安全证书的情况下,对于一些不搞程序的童鞋一看到访问不安全链接,立马就是提示劝退(PS:流下菜鸡的眼泪). 所以就去网上瞅了瞅,发现SSL证书贼几儿贵,对于我服务器小白来说,SSL证书的需求比重不算太高,只是想把 HTTPHTTPS, 找来找去,发现阿里云有免费证书可以白嫖,正所谓不(qiong)嫖(de)白(dou)不(diao)嫖(zha).所以这是就使用免费的阿里云SSL证书.

    具体的环境如下所示.

    · 阿里云ECS
    · centos 8.0
    · nginx 1.14.0
    

    申请证书


    • 我们先来说一下如何免费申请证书.只要你是阿里云实名主体个人/企业,一个自然年内可以领取一次数量为20的免费证书资源包.具体的领取传送门如下所示.

    阿里云SSL证书领取传送门

    • 领取形式如下图所示.
    • 然后我们进入阿里云控制台的SSL证书模块.然后选择云盾SSL证书,如下图所示.
    • 然后选择证书申请,这里我已经申请了两个了,所以就只剩下18次了.如下图所示.
    • 如下图,点击单域名模式,然后点击确定即可.
    • 然后下面列表就会出现一条你申请的证书记录,点击证书记录后面的"证书申请"即可.
    • 接下来就是配置一些基本信息,如下图所示.这里证书绑定域名就选择你需要绑定的域名即可. 例如我想让 www.coder-dong.com 生成证书,填写 www.coder-dong.com 即可. CSR生成方法关闭手动填写即可,让阿里云直接自动生成即可,最后点击下一步.
    • 然后需要去你的域名那添加一条解析记录,并且进行验证.解析信息都在这个页面上了,如果你的域名在当前阿里云账号上,那么它会帮你自动添加解析记录,然后点击验证即可.
    image
    • 对于阿里云当前账号则不需要手动添加,如果是其他账号或者是别的运营方申请的域名则需要手动自己添加.假设记录值数据如下所示.那么添加解析记录的时候就如图所示即可.
    记录值 : TXT
    主机记录 : XXXXXX
    记录值 : YYYYYY
    
    • 添加完成之后,验证成功状态如下图所示.
    • 签发完成之后我们点击SSL证书列表当前证书记录后面的 "下载" 按钮来下载证书和秘钥. 如下图所示.
    • 然后选择Nginx下载即可,具体如下图所示.
    • 下载好了,解压文件就得到一个.pem证书文件,一个.key秘钥文件,具体如下所示.这两个文件我们都需要上传到我们的服务器中,上传过程就不过多叙述了,我使用的是rz命令进行文件的上传.
    • ❗️❗️❗️证书正好了之后,我们需要开启服务器的 443 端口.这一步非常重要,这里我们需要去安全组中进行配置.
    image

    Nginx配置


    • 首先我们先把.pem证书文件和.key秘钥文件上传到服务器上去.由于网上教程的原因,我也在配置文件目录下创建的了 cert 的文件夹,并且把证书我恩建和秘钥文件上传到该文件夹下了.

    • 然后我们需要在Nginx的配置文件nginx.conf配置证书信息.假设我们申请的证书单域名为 www.coder-dong.com, 那么需要在http这个下添加一个443端口的serve模块.配置如下所示.

        server {
            listen       443;
            server_name  www.coder-dong.com;
            ssl on;# 打开SSL
    
            ssl_certificate cert/www.coder-dong.com.pem; # 证书路径
            ssl_certificate_key cert/www.coder-dong.com.key; # 秘钥路径
    
            ssl_session_timeout 5m;
            ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;#表示使用的加密套件的类型。
            ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型。
            ssl_prefer_server_ciphers on;
            #charset koi8-r;
    
            #access_log  logs/host.access.log  main;
    
            location / {
               root   html;
               index  index.html index.htm;
               proxy_pass http://127.0.0.1:8000; # 443端口指向本地的8000端口
            }
        }
    
    • 如上配置完成之后我们就重启Nginx就可以使用 https://www.coder-dong.com 来访问我们的本地8000端口了,但是我们平常访问哪里会加 https 的前缀,都是直接访问域名,所以这里我们还需要把常用的 80 端口的访问重定向到 443 端口,假设我们想只输入 www.coder-dong.com 就能访问 443端口,那么我们还需要在Nginx中http模块添加 server 模块,具体配置如下所示.
        # 关于模块中 rewrite 的具体使用,请自行百度.或者直接照葫芦画瓢抄袭即可.
        server {
             listen 80;
             server_name www.coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
             rewrite ^/(.*) https://www.coder-dong.com/$1 permanent;  #将所有HTTP请求通过rewrite指令重定向到HTTPS。
        }
    
    • 再例如,我想把 coder-dong.com 也映射到 443 端口,配置和上面类似.
       server {
             listen 80;
             server_name coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
             rewrite ^/(.*) https://www.coder-dong.com/$1 permanent;  #将所有HTTP请求通过rewrite指令重定向到HTTPS。
        }
    
    • OK,这样就算完成了,最后保存退出,然后重启Nginx即可.我们就配置完成了.

    • 当然了,这里我们上面所有的配置罗列出来,供大家参考.

    
    http {
        include       mime.types;
        default_type  application/octet-stream;
        sendfile        on;
        keepalive_timeout  65;
    
        server {
             listen 80;
             server_name www.coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
             rewrite ^/(.*) https://www.coder-dong.com/$1 permanent;  #将所有HTTP请求通过rewrite指令重定向到HTTPS。
        }
    
        server {
             listen 80;
             server_name coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
             rewrite ^/(.*) https://www.coder-dong.com/$1 permanent;  #将所有HTTP请求通过rewrite指令重定向到HTTPS。
        }
    
        server {
            listen       443;
            server_name  www.coder-dong.com;
            ssl on;
    
            ssl_certificate cert/coderdong.pem;
            ssl_certificate_key cert/coderdong.key;
    
            ssl_session_timeout 5m;
            ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;#表示使用的加密套件的类型。
            ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型。
            ssl_prefer_server_ciphers on;
    
            location / {
               root   html;
               index  index.html index.htm;
               proxy_pass http://127.0.0.1:8000;
            }
        }
    }
    

    结语


    SSL证书的配置整体来说还是比较简单的,如果喜欢骚栋,欢迎点赞关注,如果有任何问题,可以评论留言.感谢各位大佬的阅读了.

    image

    相关文章

      网友评论

        本文标题:SSL证书 - 基于Nginx配置HTTPS

        本文链接:https://www.haomeiwen.com/subject/ewuyqltx.html