将站点升级为https可以分四步走:
- 搞到SSL证书
- 正确配置Nginx
- 把SSL证书上传到服务器上
- 将http重定向为https
获取SSL证书
第一步非常容易。进入阿里云控制台后我们很容易就能找到购买证书的地方。为了省钱,这里使用单域名DV免费版证书。下载证书得到 .pem 和 .key 文件到本地备用。
理论上来说,这之后跟着阿里云的文档 在Nginx或Tengine服务器上安装证书 操作就可以了。但不知道怎么的,文档里让操作的路径(/usr/local/nginx/conf)我没有。我和nginx配置沾边的东西都在 /etc/nginx 下。文档里还让我找到 /conf/nginx.conf 文件中 # HTTPS server
的配置信息,这东西在 /etc/nginx/nginx.conf 里根本不存在。
由于各种事实与教程不符,自己绕了很大弯子才弄好,可惜弄好了才发现这篇教程非常清晰靠谱,真心后悔没早看到。不过,我会把自己折腾中的坑说一说来废物利用一下,希望其过程能帮助后来者。
正确配置Nginx
首先,不用太多关注 /usr/local/nginx 的问题。我搜索到的讲 nginx 配置的文章都是基于 /etc/nginx 讲述的(推荐这篇)。不要在 /etc/nginx/nginx.conf 里面做改动。在 /etc/nginx/sites-available 里的我们网站原本的配置文件中,在server级别中加入跟 ssl 有关的信息就可以了。Nginx的官方文档中专门有配置https这么一章。里面给出的最简配置方法是这样的:
server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate www.example.com.crt;
ssl_certificate_key www.example.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
...
}
这里的配置必须要结合阿里云那篇 在Nginx或Tengine服务器上安装证书 文档里的参数修改。最终的效果如下:
配置文件各种参数的详细解释见官方文档。
上传SSL证书
我们的配置文件指定了ssl_certificate和ssl_certificate_key的路径。下面就需要创建 cert 文件夹,并且上传 .pem 和 .key 文件的时候了。此处差评阿里云 workbench的文件树,本地传文件死活传不上去。这里改道使用 pscp 上传文件。
我们可以用 nginx -t
命令测试当前配置是否合法并且检测自己的错误。例如如果文件上传的位置不对,就会出现这种情况:
在此之后,重启nginx,检查一下ECS的443端口是否对外开放,就可以访问自己的网站试试啦。没有问题的话,地址栏左侧尴尬的 “不安全” 应该已经变成一个🔒啦。
将http重定向到https
如果不这么做,浏览器使用http访问网站的时候就会遇到ERR_CONNECTION_REFUSED
的问题,然后自己在服务器上各种检查不出问题怀疑人生。
server {
listen 80;
server_name localhost; #将localhost修改为您证书绑定的域名,例如:www.example.com。
rewrite ^(.*)$ https://$host$1 permanent; #将所有http请求通过rewrite重定向到https。
}
这些代码和ssl的那个server并排写在同一个文件里就可。
还有一些遗留问题:
- 为什么会有 /usr/local/nginx 这种东西?阿里云的文档里使用
nginx -s stop
nginx -s start
重启服务器。但在我这里nginx -s start
都不是合法命令。是版本不同造成的吗? -
service nginx $[argument]
和nginx -s $[argument]
参数各异,但是都能起到启动停止nginx运行的作用,通过或不通过service操作,它们的区别是什么?
网友评论