nginx配置ssl證書實現https訪問

配置ssl證書以前，先準備SSL證書，至於獲取的途徑不少（阿里雲的服務，第三方服務購買）。這裏不詳細解釋。如下是個人SSL證書

 

準備好證書後，找到nginx的安裝目錄，個人安裝位置爲：/usr/local/nginx

 

進入 config/nginx.conf
若是沒有裝winscp（一款可視化文件操做工具）的。能夠經過命令行的方式，編輯nginx的config文件。

開始配置文件的修改
在修改配置文件以前，最好作一個備份，防止修改錯誤，也能及時回退錯誤

一、找到第一個監聽80端口的server:一下是我修改好的server

server {
listen 80;
server_name 須要訪問的域名;

rewrite ^(.*) https://$server_name$1 permanent; #這句是表明 把http的域名請求轉成https

#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
proxy_pass http://須要訪問的域名; #由於這裏仍是80端口，因此保持http就能夠了

}
}

在實際的配置文件中，最好把我上面的備註刪除

二、第一個server修改好了以後。那麼就須要開始配置第二個server。拉到文件的底部。看到有一個https類型的server。並且已經所有被註釋封上了，這是咱們須要改的第二個server，如圖：

 

這裏除了HTTPS server這行以外，其餘的 # 刪除，啓動https模塊

# HTTPS server
#
server {
listen 443 ssl;
server_name 須要訪問的域名，這裏也不用加https;

ssl on;

ssl_certificate /usr/local/nginx/ssl/ssl.pem; #這裏是ssl key文件存放的絕對路徑，根據本身的文件名稱和路徑來寫
ssl_certificate_key /usr/local/nginx/ssl/ssl.key; #這裏是ssl key文件存放的絕對路徑，根據本身的文件名稱和路徑來寫

ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;

ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

location / {
proxy_pass http://須要訪問的域名:8080/;
}
}

配置好後，nginx的配置就算是完成了。不過這只是配置ssl證書的第一步！

接下來就是要讓配置文件生效：

一、進去nginx的sbin文件夾，個人sbin文件夾在：/usr/local/nginx/sbin
執行如下語句：檢驗配置文件是否有錯誤

./nginx -t

若是nginx曾經安裝過SSL模塊，那麼應該會顯示如下界面：（若是已經顯示配置成功，那麼能夠跳過這一步，直接重啓nginx就能夠了）

 

但是大多數第一次安裝https證書，都會報錯，說缺乏SSL模塊，以下：

 

二、這時候咱們就能夠先安裝SSL模塊：
先確認2個位置：
1）個人nginx是安裝在了/usr/local/nginx/下
2）個人nginx的源碼包放在了/usr/local/nginx/nginx/nginx-1.8.0下。若是沒有的話，從新下載你對應的nginx版本的源碼包，找個目錄解壓

三、目錄切換到咱們的源碼包安裝位置：

cd /usr/local/nginx/nginx/nginx-1.8.0

四、執行語句，從新安裝ssl模塊：

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
這時候可能又會有點小插曲，啓動ssl模塊的時候，報錯了：

 

看到了error。就知道linux安裝失敗，中止了。這個錯誤是由於咱們沒有安裝openssl openssl-devel（若是這一步沒有報錯的話，能夠跳過下面的安裝openssl-devel的步驟）

五、那麼能夠先執行安裝openssl openssl-devel語句：

yum -y install openssl openssl-devel

安裝上了 openssl-devel後，從新執行：./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

六、這時候應該就執行配置成功了。配置成功後，那麼就須要編譯咱們的配置。（注意這裏只能用make 而不要用make install，由於執行make install是覆蓋安裝的意思）
運行：

make

等待執行完成後，咱們須要把新編譯的nginx模塊替換原來的nginx。

七、仍是老規矩，先備份舊的nginx，執行語句（這裏面複製的文件的路徑須要根據大家安裝的目錄自行修改，若是和我安裝的路徑是同樣的那麼能夠直接運行該語句）：

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
1
八、關閉nginx（由於要把新的模塊覆蓋舊的nginx）

先找到nginx端口號，如圖，目前我nginx的進程號爲：13542

ps -ef|grep nginx

 

殺死該進程就能夠了，執行語句：

kill -QUIT 13542

九、關閉nginx進程後就能夠開始替換了（注意：我當前的位置是在我nginx的源碼包中，目錄不要搞錯了）

 

執行：（複製到個人nginx的目錄中）

cp ./objs/nginx /usr/local/nginx/sbin/

而後就是啓動nginx。在啓動以前，也能夠在測試一次配置文件是否已經生效：

#先切換到sbin目錄
cd /usr/local/nginx/sbin/
#檢測nginx的配置文件是否有錯誤
./niginx -t

看到這樣的，就是已經成功了

 

最後啓動nginx：

/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

由於剛纔替換nginx模塊的時候是把nginx進程都殺死了，因此要用上面的命令進行啓動，而不能使用reload重啓。

nginx正常啓動後，咱們在訪問咱們的網站，發現https就已經配置好了：

 

小拓展：
剛纔配置nginx的時候是直接在配置文件上作修改，其實咱們能夠把小的配置抽離出去，儘可能保持原配置文件不被修改

咱們能夠在原有配置文件中，加上這句（注意做用域範圍，是引入到http的｛｝以內）：

include vhost/*.conf;

 

接下來，須要找到對應的配置文件，由於咱們這裏的路徑是直接 vhost。因此在配置文件同級目錄，新建一個 vhost 文件夾，並且咱們引入的是 *.conf 。意思就是引入vhost中全部後綴是.conf的配置文件：

在配置文件中，加上咱們剛纔教程提到的配置：

server {
listen 80;
server_name 須要訪問的域名（不加http頭）;

rewrite ^(.*) https://$server_name$1 permanent;

#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
proxy_pass http://須要訪問的域名

}
}

# HTTPS server
#
server {
listen 443 ssl;
server_name 須要訪問的域名;

ssl on;

ssl_certificate /usr/local/nginx/ssl/ssl.pem;
ssl_certificate_key /usr/local/nginx/ssl/ssl.key;

ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;

ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

location / {
proxy_pass http://須要訪問的域名:8080/;
}
}

保存後，也是使用nginx -t測試配置文件是否成功，成功後重啓nginx便可。

若是有多個二級域名，那麼就複製多份 xx.conf文件便可，配置文件會自動引入到nginx的配置中，不過每次新增配置文件都須要檢測一遍，而後重啓nginx