阿里雲LINUX服務器配置HTTPS(NGINX)

 本文首發於：http://www.fengzheng.pub/archives/238.html 

背景說明

服務器爲阿里雲 ECS，操做系統爲 CentOS 6.5。

部署配置說明

第一步，安裝nginx

之因此要先安裝 nginx，是由於下面配置域名解析的時候能夠直接在瀏覽器看到效果，固然了，先配置域名，而後 ping 一下也是能夠的

下載Nginx源碼包，解壓源碼包，進入解壓後的目錄，編譯配置，命令以下：

./configure --prefix=/usr/local/nginx  --with-http_ssl_module

以上命令將nginx安裝到usr/local/nginx目錄下，並啓動ssl功能。事先確保服務器已安裝open-ssl包，如沒安裝可用以下命令在線安裝：

yum -y install openssl openssl-devel，除此以外還須要PCRE、zlib。

而後執行make  && make install命令開始編譯安裝，直到提示安裝成功便可。可到/usr/local/nginx/sbin目錄下輸入./nginx命令，便可以默認配置文件啓動，若是須要指定配置文件，則用以下命令：

./nginx -t -c /usr/local/data/my-nginx.conf  ，檢查配置文件並指定一個配置文件。

安裝過程當中可能會提示缺乏其它依賴包，根據提示安裝便可。

若是不幸的是，以前已經安裝了nginx,可是沒有編譯ssl模塊，那能夠根據這篇文章，從新將ssl模塊編譯進去。

啓動以後，若是不出意外，能夠訪問服務器，看到 nginx 默認頁面。

第二步，申請及解析域名

爲何要申請域名，這就很少說了，網站想要外部訪問，總得有個域名吧，難不成直接用 IP 訪問嗎。就算你非得用 IP訪問，那對不起，下面配置 HTTPS證書的時候須要填寫域名。

• 登陸阿里雲-萬網，查詢你要註冊的域名，若是沒有被註冊的話， 能夠直接購買，好的域名早就被域名倒手或者註冊商本身搶注了，通常的域名，好比以公司名稱、產品名稱全拼、縮寫的域名，通常是不會有人註冊，這樣的域名也相對便宜，基本一年不會過百的。

   

• 購買完域名後，須要完成一系列相關信息的填寫，可按提示完成便可。而後進行域名解析

  1. 進入雲解析，這裏會看到所具備的萬網域名，選中一個域名，點擊下方的「添加解析」按鈕。
  1. 跳轉到解析設置頁面，其中記錄類型默認爲 A 便可；

     主機記錄若是是二級域名，例如fengzheng.pub ,這裏要填寫www，若是是三級域名，例如api.fengzheng.pub，這裏則要填api；

     記錄值即對應的服務器 IP，點擊添加便可。通常是一分鐘內生效。

  2. 經過剛剛配置好的解析，例如 www.fengzheng.pub 便可訪問這個域名指向的服務器。第一步安裝了 nginx ，那麼如今訪問這個域名，應該會出現 nginx 默認頁面。若是提示 DNS 解析有問題，多是本地或 DNS 服務商有緩存，清除緩存或等一段時間後再嘗試。

第三步 申請 SSL 證書

• 進入阿里雲控制檯，「安全（雲盾）」下的「證書服務」，點擊購買證書，選擇免費型 DV SSL，按提示走就能夠，反正不用花錢的。

• 接下來到個人訂單頁面，看到證書狀態是「待完成」，點擊「補全」連接

• 接下來要求輸入一個域名，由於免費證書只支持一個域名，這裏能夠寫你申請的域名或者子域名也能夠，例如a.com或者api.a.com。

• 以後填寫我的信息，這裏有個域名驗證類型，分爲DNS驗證和文件驗證，具體驗證方式可查看 阿里雲幫助手冊。

• 最後到上傳信息這一步，通常選擇系統生成 CSR。

• 這裏選擇的是 DNS 驗證方式，點擊進度按鈕，會彈出提示框，按提示框中的操做添加一條DNS記錄。（文件驗證方式會要求將一個html文件放到服務器指定的目錄下，而後經過url訪問到便可驗證成功）

• 直到個人訂單頁面顯示證書狀態爲已簽發，即表示證書申請成功。

• 再以後會在個人訂單列表中，操做欄看到下載按鈕，點擊按鈕，跳轉到證書下載頁面，這裏提供了nginx、Apache、Tomcat等證書下載

• 這裏選擇 nginx 證書。

第四步 在 nginx 中配置 HTTPS

• 將下載下來的證書解壓，裏面有兩個文件一個是.key，另外一個是.pem，把這兩個文件傳到服務器的一個目錄中。

• 找到 nginx 配置文件，打開編輯，加入以下代碼：

   

  server {
        listen       443 ssl;
        server_name  localhost;
        ssl on;
   
        ssl_certificate      /root/data/cert/test.pem;
        ssl_certificate_key  /root/data/test.key;
   
        ssl_session_timeout  5m;
   
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers  on;
   
        location ^~/test {
             proxy_redirect off;
             proxy_set_header Host $host;
             proxy_set_header X-Real-IP $remote_addr;
             proxy_set_header X-Forwarded-Proto https;
             proxy_pass http://127.0.0.1:8080/test;
        }
   
    }   
  

  　　

• 最後重啓 nginx 便可。