在Linux Nginx配置HTTPS

96
小怪聊职场 22d8d123 271c 4d80 9c59 6990844a9e37
2018.05.03 19:18 字数 657

一、公钥和私钥的获取

可以购买,可以自己生成,本文假设你已经有了公钥和私钥。


公钥和私钥的文件,欢迎访问http://yimian.me体验我们的产品

二、把SSL证书中的公钥和私钥放到服务器中的Nginx中

找到你需要配合HTTPS的服务器中的Nginx安装目录,把公钥和私钥文件放入到nginx/ssl中。
使用Mac时的命令如下:

scp -P 22 /Users/huangtao/Documents/temp/yimian.cer root@服务器IP:/usr/local/nginx/conf/ssl/
scp -P 22 /Users/huangtao/Documents/temp/yimian.key root@服务器IP:/usr/local/nginx/conf/ssl/

正常放入之后,服务器中的目录如下:

root@iZbp119shkcx0jsks7pb8nZ:/usr/local/nginx/conf# tree
.
├── fastcgi.conf
├── fastcgi.conf.default
├── fastcgi_params
├── fastcgi_params.default
├── koi-utf
├── koi-win
├── mime.types
├── mime.types.default
├── nginx.conf
├── nginx.conf.default
├── scgi_params
├── scgi_params.default
├── ssl
│   ├── yimian.cer
│   └── yimian.key
├── uwsgi_params
├── uwsgi_params.default
└── win-utf

这里有一个插曲:
如果你是接手别人配置好的服务器,那么你首先需要找到服务器中的Nginx在哪。
通过find / -name "nginx"找出服务器中的nginx安装目录,有时候会发现有好几个地方有nginx,如下:

有好几个nginx

一般情况下是这样:
在/etc/nginx下的是通过yum或apt-get 安装的,其他目录下的应该是自己编译的nginx。我们需要确定的是目前服务器正在使用的是那个,不需要的最好是删除。
找到我们使用的Nginx目录,比如在/usr/local/nginx/,进入conf目录,把yimian.cer、yimian.key放入到ssl里面。

当然,如果服务器没有安装Nginx,那么直接安装下即可。
======安装nginx start=====
sudo apt-get update
sudo apt-get install nginx
======安装nginx end=====


三、配置Nginx中的nginx.conf文件

nginx.conf是nginx的主配置文件,我们可以在这个文件中添加配置(这个配置文件有大小限制),也可以新建一个配置文件,再在nginx.conf把新配置文件include进去。
例如,我们新建了一个配置文件yimian.conf,存放在/usr/local/nginx/sites-enabled/yimian.conf,那么在nginx.conf中就需要include进去,如下:

root@localhost:/usr/local/nginx/conf# cat nginx.conf 
user www-data;
worker_processes auto;
pid /run/nginx.pid;

events {
    worker_connections 768;
    # multi_accept on;
}

http {
    ##
    # Basic Settings
    ##

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    # server_tokens off;

    # server_names_hash_bucket_size 64;
    # server_name_in_redirect off;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    ##
    # SSL Settings
    ##

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
    ssl_prefer_server_ciphers on;

    ##
    # Logging Settings
    ##

    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;

    ##
    # Gzip Settings
    ##

    gzip on;
    gzip_disable "msie6";

    # gzip_vary on;
    # gzip_proxied any;
    # gzip_comp_level 6;
    # gzip_buffers 16 8k;
    # gzip_http_version 1.1;
    # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

    ##
    # Virtual Host Configs
    ##

    include /usr/local/nginx/conf.d/*.conf;
    include /usr/local/nginx/sites-enabled/*;
}

注意最后的include /usr/local/nginx/sites-enabled/*;

回到我们要说的ssl配置,见yimian.conf配置文件:

root@localhost:/usr/local/nginx/sites-enabled# cat yimian.conf 
server {
    listen      80; 
    server_name  yimian.me www.yimian.me;  
    # if ( $scheme = http ){
    #     return 301 https://$server_name$request_uri;
    # } 
    access_log  /var/log/yimianme.access.log;
    error_log   /var/log/yimianme.error.log;  
    location / {  
        proxy_pass http://程序的服务器IP:程序的端口/;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;   
        proxy_set_header REMOTE_ADDR $remote_addr; 
        proxy_set_header RealIP $remote_addr; 
        proxy_set_header server_name $server_name;
        proxy_set_header host $host;
        proxy_set_header REQUEST_URI $request_uri;  
        proxy_http_version 1.1;
        proxy_read_timeout 600; 
        proxy_set_header Connection "";      
    } 
    error_page   500 502 503 504  /50x.html; 
    location = /50x.html {
        root   html;
    }
}
###################HTTPS##################
server {
    listen      443;
    server_name  yimian.me www.yimian.me;
    ssl on;
    ssl_certificate /usr/local/nginx/conf/ssl/yimian.cer;
    ssl_certificate_key /usr/local/nginx/conf/ssl/yimian.key;
    access_log  /var/log/yimianme.access.log;
    error_log   /var/log/yimianme.error.log;
    location / {
        proxy_pass http://程序的服务器IP:程序的端口/;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE_ADDR $remote_addr;
        proxy_set_header RealIP $remote_addr;
        proxy_set_header server_name $server_name;
        proxy_set_header host $host;
        proxy_set_header REQUEST_URI $request_uri;
        proxy_http_version 1.1;
        proxy_read_timeout 600;
        proxy_set_header Connection "";
    }
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }
}

1、重点注意事项一
注释的内容是设置是否强制跳转到https。

if ( $scheme = http ){
    return 301 https://$server_name$request_uri;
}

2、重点注意事项二
###################HTTPS##################中的内容是对应的公钥和私钥文件路径。

ssl_certificate /usr/local/nginx/conf/ssl/yimian.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/yimian.key;

3、重点注意事项三
proxy_pass对应的就是你这个域名真正要转发的IP地址。

proxy_pass http://程序的服务器IP:程序的端口/;

四、启动Nginx

至此,SSL已经配置完成,现在需要重启Nginx
重启
nginx -s reload

或Kill之后再启动
nginx -c /usr/local/nginx/conf/nginx.conf

检查启动结果
ps -ef | grep nginx

JAVA Web系列
JAVA Web系列
5.1万字 · 6.9万阅读 · 667人关注
Web note ad 1