Nginx配置SSL自簽名證書的方法

Nginx配置SSL自簽名證書的方法。nginx

生成自簽名SSL證書安全

生成RSA密鑰(過程須要設置一個密碼,記住這個密碼)session

$ openssl genrsa -des3 -out domain.key 1024dom

拷貝一個不須要輸入密碼的密鑰文件tcp

$ openssl rsa -in domain.key -out domain_nopass.key優化

生成一個證書請求網站

$ openssl req -new -key domain.key -out domain.csrcode

這裏會提示輸入國家,地區組織,email等信息.最重要的一個是"common name",須要與網站域名相同.server

Enter pass phrase for domain.key: # 以前設置的密碼ip

-----

Country Name (2 letter code) [XX]:CN # 國家

State or Province Name (full name) []:Jilin # 地區或省份

Locality Name (eg, city) [Default City]:Changchun # 地區局部名

Organization Name (eg, company) [Default Company Ltd]:Python # 機構名稱

Organizational Unit Name (eg, section) []:Python # 組織單位名稱

Common Name (eg, your name or your server's hostname) []:domain.com # 網站域名

Email Address []:123@domain.com # 郵箱

A challenge password []: # 私鑰保護密碼,可直接回車

An optional company name []: # 一個可選公司名稱,可直接回車

輸入完這些就會生成一個domain.csr文件,提交給ssl提供商的時候就是這個csr文件.固然這裏並無向任何證書提供商申請,而是本身簽發證書.

使用上面的密鑰和CSR對證書籤名

$ openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt

Nginx下ssl配置方法

檢測nginx是否支持SSL:

$ nginx -V

若是有顯示-with-http_ssl_module表示已編譯openssl,支持安裝ssl.

若是沒有,請從新編譯安裝nginx

$ ./ configure --with-http_ssl_module --with-http_stub_status_module

$ make & make install

配置文件:

server {

listen 80;

listen 443 ssl; # 監聽443端口, 開啓ssl(必須)

server_name domain.com;

# ssl on; # 不建議使用! 該指令與listen中ssl參數功能相同.

# 引用ssl證書(必須,若是放在nginx/conf/ssl下能夠用相對路徑,其餘位置必須用絕對路徑)

ssl_certificate /home/user/domain.com/conf/ssl/domain.crt;

ssl_certificate_key /home/user/domain.com/conf/ssl/domain_nopass.key;

# 協議優化(可選,優化https協議,加強安全性)

ssl_protocols TLSv1 TLSv1.1 TLSv1.2

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

ssl_prefer_server_ciphers on;

ssl_session_cache shared:SSL:10m;

ssl_session_timeout 10m;

# 自動跳轉到HTTPS

if ($server_port = 80) {

rewrite ^(.*)$ https://$host$1 permanent;

}

# 其餘配置信息...

}

配置完成後檢查niginx配置文件是否可用:

$ nginx -t # 檢查nginx配置文件

successful後從新加載配置文件使配置生效:

$ nginx -s reload

注:記得開啓防火牆的443端口 firewall-cmd --zone=public --add_port=443/tcp permanent

注:我使用的nginx+uwsgi部署,這種狀況還須要重啓下uwsgi,不然沒法訪問 uwsgi --reload ./tmp/uwsgi.pid

相關文章
相關標籤/搜索