nginx https

（1）https介紹

http不安全：傳輸數據被中間人盜用，信息泄露;數據內容劫持篡改
https做用：使網站可信，防劫持，防篡改，防監聽

（2）nginx的https配置

1.向阿里雲或騰訊雲申請免費的數字證書,免費的只能綁定一個主機地址，若是想申請DV通配型的須要收費（*.baidu.com）
騰訊雲：https://cloud.tencent.com/document/product/400/4143 須要作域名可信按照提示操做
2.環境檢測

# openssl version       //ssl版本必須是1.0.2
OpenSSL 1.0.2k-fips  26 Jan 2017
# nginx -V              //必需要有ssl模塊

3.建立目錄和上傳證書

mkdir /nginx/cert -pv 
# ll /nginx/cert 
-rw-r--r--. 1 root root  3676 4月   3 11:26 1_www.wwang.xyz_bundle.crt
-rw-r--r--. 1 root root  1700 4月   3 11:26 2_www.wwang.xyz.key

4.修改nginx配置文件

#vim /usr/local/nginx/conf/nginx.conf 
 server {
        listen 443;
        server_name www.wwang.xyz;
        ssl on;
        ssl_certificate /nginx/cert/1_www.wwang.xyz_bundle.crt;
        ssl_certificate_key /nginx/cert/2_www.wwang.xyz.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
        ssl_prefer_server_ciphers on;
        location / {
                proxy_pass http://192.9.191.31:8001;
                }
        }

5.參數詳解

listen 443                                          //SSL訪問端口號爲443
ssl on                                              //啓用SSL功能
ssl_certificate                                     //證書文件
ssl_certificate_key                                 //私鑰文件
ssl_protocols                                       //使用的協議
ssl_ciphers                                         //配置加密套件，寫法遵循openssl標準

6.防火牆配置和從新加載nginx

iptables -I INPUT 1 -p tcp  --dport 443 -j ACCEPT
service iptables save
nginx -t 
nginx -s reload

7.驗證

8.蘋果ats檢測，知足蘋果https需求

檢測地址：https://cloud.tencent.com/product/ssl

（3）http301跳轉https

需求：訪問http://www.wwang.xyz 301跳轉到https://www.wwang.xyz
1.nginx配置

#vim /usr/local/nginx/conf/nginx.conf 
server {
        listen 80;
        server_name www.wwang.xyz;
        rewrite ^(.*) https://www.wwang.xyz/$1 permanent;
        }

2.從新加載

nginx -t 
nginx -s reload

3.驗證