Nginx是一款輕量級的Web服務器、反向代理服務器及電子郵件(IMAP/POP3)代理服務器。
Http(超文本傳輸協議)被用於瀏覽器和web 服務器之間傳遞消息,http協議以明文方式發送內容,不提供任何方式的數據加密,所以攻擊者能夠截取傳輸報文獲取信息。
爲了數據傳輸的安全,在http的基礎上加入了ssl協議就成了https協議,ssl依靠證書來驗證服務器的身份,併爲瀏覽器和服務器之間的通訊加密。javascript
SSL協議位於TCP/IP協議與各類應用層協議之間,可分爲兩層:
(1)SSL記錄協議(SSL Record Protocol):它創建在可靠的傳輸協議(如TCP)上,爲高層協議提供數據封裝、壓縮、加密等基本功能的支持。
(2)SSL握手協議(SSL Handshake Protocol):它創建在SSL記錄協議上,用於在實際的數據傳輸開始前,通信雙方進行身份驗證、協商加密算法、交換加密密鑰等。css
採用Https的服務器必須從證書頒發機構CA(Certificate Authority)申請一個用於證實服務器用途類型的證書,有收費的也有免費的,也能夠經過OpenSSL本身造一個證書,不過瀏覽器是不信任你本身造的證書的,在訪問時,會提醒」您的鏈接不是私密鏈接「,在這咱們使用的是Let's Encrypt免費證書。html
(1) 安裝Let's Encrypt推薦獲取證書的客戶端 Certbotsudo apt-get install certbot
(2)獲取證書(兩種模式)java
certbot certonly --webroot /var/www/example -d example.com -d www.example.com
這個命令會爲 example.com 和 www.example.com 這兩個域名生成一個證書,會在 /var/www/example 中建立 .well-known 文件夾,這個文件夾裏面包含了一些驗證文件,certbot 會經過訪問 example.com/.well-known/acme-challenge 來驗證你的域名是否綁定的這個服務器。nginx
certbot certonly --standalone -d example.com -d www.example.com
這種模式不須要指定網站根目錄,他會自動啓用服務器的443端口來驗證域名的歸屬,因此若是有其餘服務(如nginx)佔用了443端口sudo lsof -n -P|grep:443
,須要先中止這些服務,在證書生成完畢後,再啓用。web
server { listen 443; server_name example.com www.example.com; ssl on; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; location / { proxy_pass http://localhost:port/; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_read_timeout 600; gzip on; gzip_disable "MSIE [1-6]\.(?!.*SV1)"; client_max_body_size 10M; gzip_vary on; gzip_proxied any; gzip_comp_level 6; gzip_buffers 16 8k; gzip_http_version 1.1; gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript; } } server{ //當用http://...訪問時重定向至https://... listen 80; server_name example.com www.example.com; return 301 https://www.example.com; }
重啓Nginx服務,便可使用https://www.example.com
訪問該網站算法
let's Encrypt證書只有90天的有效期,因此在證書到期以前,咱們須要從新獲取這些證書,可使用certbot renew
這個命令。(若是生成證書時使用--standalone模式,更新證書時也要暫停當前443端口運行的程序)json
詳見:Nginx配置文件(nginx.conf)配置詳解瀏覽器
先用sudo nginx -t
檢測下配置文件,再看下錯誤日誌,以後Google。
詳見:Nginx常見錯誤與解決辦法安全
sudo nginx -c /path/to/nginx.conf
sudo nginx -s reload
sudo nginx -t
暫停nginx服務
ps -ef|grep nginx
查看nginx佔用的進程sudo kill -QUIT 28478
(28478爲nginx的主進程號)