Windows下Nginx配置SSL實現Https訪問（包含證書生成）

Windows下Nginx配置SSL實現Https訪問（包含證書生成）

　　首先要說明爲何要實現https？

　　HTTP全名超文本傳輸協議，客戶端據此獲取服務器上的超文本內容。超文本內容則以HTML爲主，客戶端拿到HTML內容後可根據規範進行解析呈現。所以，HTTP主要負責的是「內容的請求和獲取」。問題就出在這部分。行監控、劫持、阻擋等行爲很容易致使網站泄密，一些關鍵參數好比登陸密碼開發者會在客戶端進行MD5加密，不過互聯網所承載的機密信息遠不僅是密碼，搜索內容一樣屬於敏感信息。現現在，百度、谷歌、Github等網站已經全站啓用https，https就像是給網站上了一個「鎖」，HTTPS作的就是給請求加密，讓其對用戶更加安全。對於自身而言除了保障用戶利益外，還可避免本屬於本身的流量被挾持，以保護自身利益。因此在我看來，終有一天HTTPS會實現全網普及。

　　下面進入正題。

　　說明：此教程適合已經配置好WNMP環境，並配置Virtualhost實現多站點的同窗。若是您還沒有配置，請參照我以前的文章進行配置。

　　實現Https首先須要向管理機構申請證書，而咱們這次因爲是練習目的，因此經過Openssl本身生成證書。首先咱們須要用到生成證書的Openssl軟件。

步驟：

1. 安裝Openssl

　　下載地址：http://slproweb.com/products/Win32OpenSSL.html （根據系統選擇32位或者64位版本下載安裝）。

　　下載完成後，進行安裝，我安裝在了 C:\wnmp\OpenSSL-Win64文件夾中。

2. 安裝ActivePerl （此軟件目的爲了解析pl文件，部分系統不安裝也能夠實現本教程的功能，安裝該軟件目的爲了學習perl）。

　　下載地址：http://www.activestate.com/activeperl/downloads/  （根據系統選擇win32或者win64版本下載安裝）。

3. 配置環境變量

　　在環境變量中添加環境變量

　　　　變量名： OPENSSL_HOME            變量值：C:\wnmp\OpenSSL-Win64\bin;        （變量值爲openssl安裝位置）

　　　　在path變量結尾添加以下 ： %OPENSSL_HOME%;

4. 生成證書　　 

　　（1） 首先在 nginx安裝目錄中建立ssl文件夾用於存放證書。好比個人文件目錄爲 C:\wnmp\nginx\ssl

　　　　　以管理員身份進入命令行模式，進入ssl文件夾。 命令爲： cd  c:/wnmp/nginx/ssl

　　（2） 建立私鑰

　　　　　在命令行中執行命令： openssl genrsa -des3 -out lee.key 1024     （lee文件名能夠自定義），以下圖所示：

　　　　　　

　　　　　　輸入密碼後，再次重複輸入確認密碼。記住此密碼，後面會用到。

　　（3）建立csr證書

　　　　　在命令行中執行命令：  openssl req -new -key lee.key -out lee.csr    （key文件爲剛纔生成的文件，lee爲自定義文件名）

　　　　　　

　　　　　  如上圖所示，執行上述命令後，須要輸入信息。輸入的信息中最重要的爲 Common Name，這裏輸入的域名即爲咱們要使用https訪問的域名。

　　　　　  以上步驟完成後，ssl文件夾內出現兩個文件：

　　（4）去除密碼。

　　　　 在加載SSL支持的Nginx並使用上述私鑰時除去必須的口令，不然會在啓動nginx的時候須要輸入密碼。

　　　　　複製lee.key並重命名爲lee.key.org 

　　　　　可使用此命令行，也可使用鼠標操做     copy lee.key lee.key.org

　　　　　去除口令，在命令行中執行此命令：  openssl rsa -in lee.key.org -out lee.key  （lee爲自定義文件名）

　　　　　以下圖所示，此命令須要輸入剛纔設置的密碼。

　　　　　　

　　　（5）生成crt證書

　　　　　在命令行中執行此命令： openssl x509 -req -days 365 -in lee.csr -signkey lee.key -out lee.crt  （lee爲自定義文件名）

　　　　　　

　　　　  證書生成完畢，ssl文件夾中一共生成以下4個文件，咱們須要使用到的是lee.crt和lee.key。

　　　　　　

5. 修改nginx.conf文件

　　　　nginx.conf文件位於：C:\wnmp\nginx\conf

　　　　找到該文件中以下代碼的位置進行修改：

# HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}

　　　　　修改成：

# HTTPS server
    #
#modify by lee 20160907 for https -s 
    server {
        listen       443 ssl;
        server_name    www.lee.com;
    
        ssl_certificate      C:/wnmp/nginx/ssl/lee.crt;
        ssl_certificate_key  C:/wnmp/nginx/ssl/lee.key;
    
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
    
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
    
        location / {
            root   C:/wnmp/lee;
            index  index.html index.htm index.php;
        }

               root           C:/wnmp/lee;
               fastcgi_pass   127.0.0.1:9001;
               fastcgi_index  index.php;
               fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
               include        fastcgi_params;
        }
    }
#modify by lee 20160907 for https -s 

　　　　　重啓nginx。

　　　　　在瀏覽器中，訪問 https://www.lee.com。發現出現證書認證，並可以成功訪問。（www.lee.com爲生成證書時，Common Name輸入的域名）

　　　　　（執行此步驟時，須要配置好Virtual Host，而且在www.lee.com開放目錄中添加了index.php默認入口訪問文件。）

　　　　　　

 　　　　上面的https被紅色劃線是由於咱們使用的是本身生成的證書，此證書不受瀏覽器信任，若是想使其變爲綠色，則須要向證書管理機構進行申請。

6. 添加劇定向，自動跳轉使用https。

　　　　　在nginx.conf中virtual host中以下代碼位置添加一行代碼：

    listen       80;                    
    server_name   www.lee.com;                    
#modify by lee 20160907 for https Redirect -s                        
    rewrite ^(.*) https://$server_name$1 permanent;                    
#modify by lee 20160907 for https Redirect -e                        

　　　　　重啓nginx。

　　　　　訪問www.lee.com，會發現瀏覽器自動跳轉到https://www.lee.com，並可以成功訪問。

　　至此，https訪問配置成功完成。

　　若有不明之處，歡迎留言，若有錯誤敬請指正。

 

　　參考： http://blog.csdn.net/ztclx2010/article/details/6896336