SSL证书 - 基于Nginx配置HTTPS
2021-03-07 本文已影响0人
神经骚栋
前言
前段时间买了一台服务器,搞了一个博客系统,但是苦于没有SSL证书,导致访问的过程一直是没有安全证书的情况下,对于一些不搞程序的童鞋一看到访问不安全链接,立马就是提示劝退(PS:流下菜鸡的眼泪). 所以就去网上瞅了瞅,发现SSL证书贼几儿贵,对于我服务器小白来说,SSL证书的需求比重不算太高,只是想把 HTTP → HTTPS, 找来找去,发现阿里云有免费证书可以白嫖,正所谓不(qiong)嫖(de)白(dou)不(diao)嫖(zha).所以这是就使用免费的阿里云SSL证书.
具体的环境如下所示.
· 阿里云ECS
· centos 8.0
· nginx 1.14.0
申请证书
- 我们先来说一下如何免费申请证书.只要你是阿里云实名主体个人/企业,一个自然年内可以领取一次数量为20的免费证书资源包.具体的领取传送门如下所示.
- 领取形式如下图所示.
- 然后我们进入阿里云控制台的SSL证书模块.然后选择云盾SSL证书,如下图所示.
- 然后选择证书申请,这里我已经申请了两个了,所以就只剩下18次了.如下图所示.
- 如下图,点击单域名模式,然后点击确定即可.
- 然后下面列表就会出现一条你申请的证书记录,点击证书记录后面的"证书申请"即可.
- 接下来就是配置一些基本信息,如下图所示.这里证书绑定域名就选择你需要绑定的域名即可. 例如我想让 www.coder-dong.com 生成证书,填写 www.coder-dong.com 即可. CSR生成方法关闭手动填写即可,让阿里云直接自动生成即可,最后点击下一步.
- 然后需要去你的域名那添加一条解析记录,并且进行验证.解析信息都在这个页面上了,如果你的域名在当前阿里云账号上,那么它会帮你自动添加解析记录,然后点击验证即可.
image
- 对于阿里云当前账号则不需要手动添加,如果是其他账号或者是别的运营方申请的域名则需要手动自己添加.假设记录值数据如下所示.那么添加解析记录的时候就如图所示即可.
记录值 : TXT
主机记录 : XXXXXX
记录值 : YYYYYY
- 添加完成之后,验证成功状态如下图所示.
- 签发完成之后我们点击SSL证书列表当前证书记录后面的 "下载" 按钮来下载证书和秘钥. 如下图所示.
- 然后选择Nginx下载即可,具体如下图所示.
- 下载好了,解压文件就得到一个.pem证书文件,一个.key秘钥文件,具体如下所示.这两个文件我们都需要上传到我们的服务器中,上传过程就不过多叙述了,我使用的是rz命令进行文件的上传.
- ❗️❗️❗️证书正好了之后,我们需要开启服务器的 443 端口.这一步非常重要,这里我们需要去安全组中进行配置.
image
Nginx配置
-
首先我们先把.pem证书文件和.key秘钥文件上传到服务器上去.由于网上教程的原因,我也在配置文件目录下创建的了 cert 的文件夹,并且把证书我恩建和秘钥文件上传到该文件夹下了.
-
然后我们需要在Nginx的配置文件nginx.conf配置证书信息.假设我们申请的证书单域名为 www.coder-dong.com, 那么需要在http这个下添加一个443端口的serve模块.配置如下所示.
server {
listen 443;
server_name www.coder-dong.com;
ssl on;# 打开SSL
ssl_certificate cert/www.coder-dong.com.pem; # 证书路径
ssl_certificate_key cert/www.coder-dong.com.key; # 秘钥路径
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;#表示使用的加密套件的类型。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型。
ssl_prefer_server_ciphers on;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
proxy_pass http://127.0.0.1:8000; # 443端口指向本地的8000端口
}
}
- 如上配置完成之后我们就重启Nginx就可以使用 https://www.coder-dong.com 来访问我们的本地8000端口了,但是我们平常访问哪里会加 https 的前缀,都是直接访问域名,所以这里我们还需要把常用的 80 端口的访问重定向到 443 端口,假设我们想只输入 www.coder-dong.com 就能访问 443端口,那么我们还需要在Nginx中http模块添加 server 模块,具体配置如下所示.
# 关于模块中 rewrite 的具体使用,请自行百度.或者直接照葫芦画瓢抄袭即可.
server {
listen 80;
server_name www.coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
rewrite ^/(.*) https://www.coder-dong.com/$1 permanent; #将所有HTTP请求通过rewrite指令重定向到HTTPS。
}
- 再例如,我想把 coder-dong.com 也映射到 443 端口,配置和上面类似.
server {
listen 80;
server_name coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
rewrite ^/(.*) https://www.coder-dong.com/$1 permanent; #将所有HTTP请求通过rewrite指令重定向到HTTPS。
}
-
OK,这样就算完成了,最后保存退出,然后重启Nginx即可.我们就配置完成了.
-
当然了,这里我们上面所有的配置罗列出来,供大家参考.
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
server {
listen 80;
server_name www.coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
rewrite ^/(.*) https://www.coder-dong.com/$1 permanent; #将所有HTTP请求通过rewrite指令重定向到HTTPS。
}
server {
listen 80;
server_name coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
rewrite ^/(.*) https://www.coder-dong.com/$1 permanent; #将所有HTTP请求通过rewrite指令重定向到HTTPS。
}
server {
listen 443;
server_name www.coder-dong.com;
ssl on;
ssl_certificate cert/coderdong.pem;
ssl_certificate_key cert/coderdong.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;#表示使用的加密套件的类型。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型。
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
proxy_pass http://127.0.0.1:8000;
}
}
}
结语
SSL证书的配置整体来说还是比较简单的,如果喜欢骚栋,欢迎点赞关注,如果有任何问题,可以评论留言.感谢各位大佬的阅读了.
image
