一天一點linux(19):配置https

Nginx配置https

#騰訊雲證書文檔
https://cloud.tencent.com/document/product/400/4143

備註，手動編譯安裝須要安加入 SSL 模塊(http_ssl_module)

示例

server {
    # 開啓https端口
    listen 443 ssl;
    # 填寫綁定證書的域名
    server_name xxx.com;

    # nginx的錯誤日誌
    access_log /var/log/nginx/sd-access.log;
    error_log /var/log/nginx/sd-error.log;

    # 默認網站根目錄
    root /data/releases/websites/sd/htdocs;

    # 將如下路由下放到前臺
    location ~ (^/taskm)|(^/perm)|(^/data) {
        try_files $uri /index.html;
    }

    location / {
        # 入口文件,注意這裏有前後順序
        index index.html index.php index.htm;
        if (!-e $request_filename) {
            rewrite . /index.php last;
        }
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }

    # https證書配置
    # 開啓ssl
    ssl on;
    # 證書文件
    ssl_certificate /usr/local/nginx/conf/ssl/xxxx.crt;
    # 私鑰文件
    ssl_certificate_key /usr/local/nginx/conf/ssl/xxxx.key;
    # 配置會話超時時間
    ssl_session_timeout 5m;
    # 配置共享會話緩存大小
    ssl_session_cache shared:SSL:10m;
    # ssl_protocols 和 ssl_ciphers 用來限制鏈接只包含 SSL/TLS 的加強版本和算法
    # 配置協議
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    # 配置加密套件
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    # 優先採起服務器算法
    ssl_prefer_server_ciphers on;

    # Fastcgi服務器和程序(PHP,Python)溝通的協議.
    location ~ \.php$ {
        # 設置監聽端口
        fastcgi_pass   127.0.0.1:9000;
        # 設置nginx的默認首頁文件,上面index設置過
        fastcgi_index  index.php;
        # 設置腳本文件請求的路徑
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        # 引入fastcgi的配置文件
        include fastcgi_params;
        fastcgi_param SERVER_NAME $http_host;
        fastcgi_ignore_client_abort on;
        fastcgi_connect_timeout 600s;
        fastcgi_send_timeout 600s;
        fastcgi_read_timeout 600s;
    }

    # 對圖片緩存時間設置
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|ico)$ {
        expires 30d;
        access_log off;
    }

    # 對JS和CSS緩存時間設置
    location ~ .*\.(js|css)?$ {
        expires 7d;
        access_log off;
    }
}

# 使用全站加密，HTTP 自動跳轉 HTTPS, 注意配置這裏上面就不能再監聽80端口
server {
    # 80端口訪問
    listen 80;
    # 配置訪問域名 不包含協議
    server_name xxx.com;
    # 使用url重寫模塊重寫url 訪問非https的url重定向到http上去
    rewrite ^/(.*) https://$host/$1 permanent;
}