Nginx實現ssl一級、二級域名證書部署並用https訪問代理轉發服務器
1. 規劃
| 域名 | 解析IP | Nginx代理 |
| htpps://www.devcult.com | 47.88.10.155 | |
| htpps://auto.devcult.com | 47.88.10.155 | https://www.automa.com |
| htpps://www.automa.com | 103.200.200.203 |
本次實驗用了2個一級域名,1個二級域名,2個ip地址;實現功能如上圖所示,要求所有使用https,而且一級域名實現自動補全www。html
2. 前提準備
- 47.88.10.15五、103.200.200.203分別部署nginx
- 解析ip分別在域名購買商解析
- ssl證書須要申請3個,分別對應兩個一級域名和一個二級域名
3. Nginx 證書部署
兩臺主機47.88.10.15五、103.200.200.203的nginx配置以下:node
nginx啓動路徑:/usr/local/nginx/sbin/nginxnginx
nginx配置文件路徑:/usr/local/nginx/conf/nginx.confweb
以47.88.10.155爲例說明配置ssl證書:vim
3.1 進入配置文件編輯:
vim /usr/local/nginx/conf/nginx.conf
3.2 .在http節點下下新增或修改:
http {
include mime.types;
default_type application/octet-stream;
#配置https網站配置文件夾
include /usr/local/nginx/conf/sites-enabled/*.conf;
...
server {
listen 80;
#http 帶www和不帶www的入口
server_name devcult.com www.devcult.com;
#可選,這裏是把全部http請求所有重定向到https
return 301 https://www.devcult.com$request_uri;
location / {
root html;
index index.html index.htm;
}
...
}
}
3.3 .新增網站ssl配置文件夾和配置文件
mkdir /usr/local/nginx/conf/sites-enabled
3.4 證書安裝
3.4.1 devcult.com域名配置ssl
把申請的證書下載到服務器上(此處以騰訊雲祕鑰格式爲例,使用亞洲誠信(TrustAsia)證書,其餘相似),裏面包含:後端
證書文件1_devcult.com_bundle.crt 、私鑰文件2_devcult.com.keybash
將域名 www.devcult.com 的證書文件1_devcult.com_bundle.crt 、私鑰文件2_devcult.com.key保存到同一個目錄,本示例在/usr/local/nginx/conf目錄下。
新建Nginx根目錄下 conf/sites-enabled/www.devcult.com.conf 文件以下:服務器
[root@aliyun ~]# cat /usr/local/nginx/conf/sites-enabled/www.devcult.com.conf
server {
listen 443 ssl;
#填寫綁定證書的域名
server_name devcult.com;
#跳轉www:把https://devcult.con 重定向到 http://www.devcult.com
return 301 http://www.devcult.com$request_uri;
#證書名稱,須要跟證書文件名一致
ssl_certificate 1_devcult.com_bundle.crt;
ssl_certificate_key 2_devcult.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
server {
listen 443 ssl;
#填寫綁定證書的域名
server_name www.devcult.com;
#證書名稱,須要跟證書文件名一致
ssl_certificate 1_devcult.com_bundle.crt;
ssl_certificate_key 2_devcult.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
注:這裏設置兩個server的做用是爲了讓https://devcult.com 跳轉至https://www.devcult.comsession
配置完成後,先用 sbin/nginx -t 來測試下配置是否有誤,正確無誤的話,重啓nginx。就能夠使 https://www.devcult.com 來訪問了。app
注:
| 配置文件參數 | 說明 |
|---|---|
| listen 443 | SSL訪問端口號爲443 |
| ssl on | 啓用SSL功能 |
| ssl_certificate | 證書文件 |
| ssl_certificate_key | 私鑰文件 |
| ssl_protocols | 使用的協議 |
| ssl_ciphers | 配置加密套件,寫法遵循openssl標準 |
3.4.2 automa.com域名配置ssl
參考3.4.1
3.4.3 automa.devcult.com域名配置ssl
二級域名 automa.devcult.com 代理跳轉 automa.com(或任意IP)配置:
把申請的二級域名證書下載到服務器上(此處以騰訊雲祕鑰格式爲例,使用亞洲誠信(TrustAsia)證書,其餘相似),裏面包含:
證書文件1_automa.devcult.com_bundle.crt 、私鑰文件2_automa.devcult.com.key
將二級域名 automa.devcult.com 的證書文件1_automa.devcult.com_bundle.crt 、私鑰文件2_automa.devcult.com.key保存到同一個目錄,本示例在/usr/local/nginx/conf目錄下。
新建Nginx根目錄下 conf/sites-enabled/automa.devcult.com.conf 文件以下:
cat /usr/local/nginx/conf/sites-enabled/automa.devops-cultural.club.conf
server {
listen 443 ssl;
server_name automa.devcult.com;
server_name_in_redirect off;
ssl_certificate 1_automa.devcult.com_bundle.crt;
ssl_certificate_key 2_automa.devcult.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
location / {
tcp_nodelay on;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass https://www.automa.com;
}
}
3.5 使用全站加密,http自動跳轉https(可選)
對於用戶不知道網站能夠進行https訪問的狀況下,讓服務器自動把http的請求重定向到https。
在服務器這邊的話配置的話,能夠在頁面里加js腳本,也能夠在後端程序裏寫重定向,固然也能夠在web服務器來實現跳轉。Nginx是支持rewrite的(只要在編譯的時候沒有去掉pcre)
在http的server裏增長
rewrite ^(.*) https://$host$1 permanent;
或者
return 301 https://www.devcult.com$request_uri;
這樣就能夠實現80進來的請求,重定向爲https了。詳情參考3.2
4.測試
| 輸入地址 | 跳轉地址 | 證書合法 |
| devcult.com | https://www.devcult.com | 合法 |
| www.devcult.com | 合法 | |
| https://devcult.com | 合法 | |
| https://www.devcult.com | 合法 | |
| automa.devcult.com | https://automa.devcult.com 實際訪問內容爲https://www.automa.com |
合法 |
| automa.com | https://www.automa.com |
合法 |
| www.automa.com | 合法 | |
| https://automa.com | 合法 | |
| https://www.automa.com | 合法 |
- 1. Nginx實現ssl一級、二級域名證書部署並用https訪問代理轉發服務器
- 2. Nginx服務器安裝SSL證書實現Https訪問
- 3. Nginx服務器部署SSL證書
- 4. 經過nginx實現https以及https二級域名轉發
- 5. Springboot2.0部署阿里雲服務器(nginx+域名+SSL)供Http和Https訪問
- 6. nginx實現二級域名轉發
- 7. 阿里雲服務器Tomcat部署項目,申請SSL證書,域名實現https安全訪問
- 8. nodejs服務器部署教程四,部署ssl證書,升級爲https
- 9. 入門Nginx之-反向代理實現二級域名轉發
- 10. nginx代理https,一級域名和二級域名的配置,thinkphp使用二級域名
- 更多相關文章...
- • 二級緩存的併發訪問策略和常用插件 - Hibernate教程
- • Hibernate整合EHCache實現二級緩存 - Hibernate教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Nginx實現ssl一級、二級域名證書部署並用https訪問代理轉發服務器
- 2. Nginx服務器安裝SSL證書實現Https訪問
- 3. Nginx服務器部署SSL證書
- 4. 經過nginx實現https以及https二級域名轉發
- 5. Springboot2.0部署阿里雲服務器(nginx+域名+SSL)供Http和Https訪問
- 6. nginx實現二級域名轉發
- 7. 阿里雲服務器Tomcat部署項目,申請SSL證書,域名實現https安全訪問
- 8. nodejs服務器部署教程四,部署ssl證書,升級爲https
- 9. 入門Nginx之-反向代理實現二級域名轉發
- 10. nginx代理https,一級域名和二級域名的配置,thinkphp使用二級域名