nginx配置https

t34ewf

Nginx+SSL配置Https服务器
1.何为SSL:

SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。SSL证书通 过在客户端浏览器和Web服务器之间建立一条SSL安全通

道(Secure socket layer(SSL)安全协 议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认 证;对

传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为 该领域中全球化的标准。由于SSL技术已建立到所有主要

的浏览器和WEB服务器程序中,因此 ,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,实现数据信息在 客户端和服务

器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性, 而且用户可以通过服务器证书验证他所访问的网站是否是真实

可靠。

2.生成SSL证书:

使用openssl工具来生成一个SSL证书, 由于是测试, 所以证书就不设密码了, 如果需要线 上使用的话, 需要向相关机构进行申请购买, 申请

证书的具体要求也因颁发商不同而不同, 看操

作吧.
首先生成个key文件:

#  openssl genrsa -des3 -out ssl.key 1024
<- 1024并不是固定的, 会由于要求不同而不同
<- ssl.key 是生成的key文件, 之后会用到, 一定保存好
<- 如果需要加密的话, 加参数就可以了, 具体加密方式不列举, 请找man
<- 如果使用加密的话, 会要求输入密码( 这个密码一定要保存好, 日后重启nginx都需要 )

使用key文件, 生成一个csr文件:
#  openssl req -new -key ssl.key -out ssl.csr
<- 测试可以一路回车, 如果是正式环境的话, 需要填写之中信息 <- 正式环境的话, 根据需求来填写详细信息

使用csr文件, key文件来颁发证书:
# openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt 此时会在当前目录下生成一个ssl.crt的文件, 这个文件日

后要加到nginx配置文件里

配置Nginx: Nginx开启SSL模块:

Nginx配置Https主机, 必须要开启SSL模块, 如果没有开启的话, 需要重新编译Nginx 使用如下命令, 检查Nginx编译时是否加入了SSL模块的

支持

# ./sbin/nginx -V "查看Nginx版本及编译参数等信息"

nginx version: Apache/2.2.21
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx-1.4.3 --with-http_stub_status_module

--with-http_ssl_module --add-module=nginx-devel-kit --add-module=lua-nginx-module --add-module=echo-nginx-module --add-

module=memc-nginx-module-master --add-module=redis2-nginx-module --add-module=set-misc-nginx-module-master --add-

module=nginx_upstream_check_module

可以看到--with-http_ssl_module, Nginx是开启了Nginx模块支持的, 如果查看Nginx编译参数时候, 没 有找到 ”--with-http_ssl_module

“ 参数, 那么就要重新编译Nginx了, 加上此参数即可

编辑Nginx配置文件:
使用你习惯的编辑器来编辑nginx的配置文件, 在server块添加以下几行:

    1  listen 443;

    2  ssl on;

    3  ssl_protocols SSLv2 SSLv3 TLSv1;

    4  ssl_ciphers HIGH:!aNULL:!MD5;

    5  ssl_prefer_server_ciphers on;

    6  ssl_session_timeout 10m;

    7  ssl_certificate /usr/local/nginx-1.4.3/conf/new_ssl/pay.xywy.com.crt;

    8  ssl_certificate_key /usr/local/nginx-1.4.3/conf/new_ssl/SSL.KEY;

说明:
第1行: 使Nginx监听443端口
第2行: 开启SSL模块
第3行: 配置SSL支持的协议
第4行: 配置SSL加密方式
第5行: 配置依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码

第6行: 配置SSL会话超时时间
第7行: 配置SSL证书, 使用key文件, csr文件签发的证书
第8行: 配置SSL秘钥, 我们上一步生成的key文件



如果需要将所有http请求跳转到https的话，还需要在80端口的配置文件中添加以下一行

rewrite ^ https://pay.xywy.com$request_uri? permanent;

编辑好配置文件后, 重启Nginx.

ps: 重启Nginx最好stop再start, 否则可能会导致证书不生效, 重启时如果之前建立key文 件时, 使用了加密认证, 那么此时输入创建key文

件时, 输入的密码就可以了

配置时可能会出现的问题及解决方法:

E: 证书不生效
A1: 可能由于Nginx重启的时候使用的是reload, 而不是stop再start
A2: 可能由于配置里面, 一个server同时监听80和443两个端口, 如果说要同时支持http和

https的话, 将两个listen端口写在两个server里面.