Nginx服务器https如何配置

时间：2023-05-24 11:42

申请证书

目前网上有不少机构提供个人免费 ssl 证书，有效期几个月到几年不等。以 startssl :https://www.startssl.com 为例, 申请成功后有效期 3 年，到期后可免费续租。

具体申请过程也很简单。

注册登录以后选择 certificates wizard >> dv ssl certificate 申请一个免费的 ssl 证书。

通过邮件验证域名之后，然后在自己服务器中生成 ssl 证书的 csr ， 记住生成输入的秘密 ，之后要用到：

openssl req -newkey rsa:2048 -keyout weizhimiao.cn.key -out weizhimiao.cn.csr

将生成的证书，放到指定的存放证书的目录，如 /data/secret/ 。查看证书 weizhimiao.csr 内容，将内容复制到页面中的 certificate signing request (csr)部分，提交页面。

下载生成好的证书,选择对应的web服务器（nginx，1_weizhimiao.cn_bundle.crt），这样私钥和公钥我们就都有了。

1_weizhimiao.cn_bundle.crt（公钥）
weizhimiao.cn.key（私钥）

nginx配置（为指定域名增加https）

nginx.conf当前配置

...http { ... include /etc/nginx/conf.d/*.conf; server {  ... }}

./conf.d/weizhimiao.cn.conf中加入

server{ listen 443 ssl; server_name weizhimiao.cn; ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt; ssl_certificate_key /data/secret/weizhimiao.cn.key; ssl_prefer_server_ciphers on; ssl_protocols tlsv1 tlsv1.1 tlsv1.2; ssl_ciphers 'keecdh+ecdsa+aes128 keecdh+ecdsa+aes256 keecdh+aes128 keecdh+aes256 kedh+aes128 kedh+aes256 des-cbc3-sha +sha !anull !enull !low !md5 !exp !dss !psk !srp !kecdh !camellia !rc4 !seed'; add_header strict-transport-security 'max-age=31536000; preload'; add_header x-frame-options deny; ssl_session_cache shared:ssl:10m; ssl_session_timeout 10m; keepalive_timeout 70; ssl_dhparam /data/secret/dhparam.pem; add_header x-content-type-options nosniff; add_header x-xss-protection 1; root /data/www/weizhimiao.cn; index index.html; location / { }}

注：

配置中用到一个 /data/secret/dhparam.pem 文件，该文件是一个pem格式的密钥文件，用于tls会话中。用来加强ssl的安全性。生成该文件方法，

cd /data/secret/openssl dhparam 2048 -out dhparam.pem

将原来80端口的访问，重定向。./conf.d/weizhimiao.cn.conf中加入

server{ listen 80; server_name weizhimiao.cn; return 301 https://weizhimiao.cn$request_uri;}

测试

检测配置文件是否有语法错误，需要输入之前生成公钥时输入的密码。

nginx -tenter pem pass phrase:nginx: the configuration file /etc/nginx/nginx.conf syntax is oknginx: configuration file /etc/nginx/nginx.conf test is successful

重启nginx(切记，reload不起作用)

nginx -s stopenter pem pass phrase:nginxenter pem pass phrase:

浏览器访问 weizhimiao.cn ,是否生效。

另，nginx配置了安全证书之后，nginx每次的reload、stop等操作都需要输入密码。

可以通过生成一个解密的key文件，替代原来key文件。

cd /data/secret/openssl rsa -in weizhimiao.cn.key -out weizhimiao.cn.key.unsecure

替换 weizhimiao.cn.conf 中的 weizhimiao.cn.key 文件.

server { ... ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt; ssl_certificate_key /data/secret/weizhimiao.cn.key.unsecure; ...}

之后每次在reload时，就不需要在输入密码了。

最后，用 ssllabs 来进行一下测试。

Nginx服务器https如何配置

结果

Nginx服务器https如何配置

以上就是Nginx服务器https如何配置的详细内容，更多请关注Gxl网其它相关文章！

电脑软件

本类排行

今日推荐

点点阅读官方版

版本：v3.6.3

大小：15.31MB

日期：2024-05-08
笔趣阁优化版

版本：v1.0

大小：18.83MB

日期：2024-05-08
涩里番官方版

版本：v1.0

大小：1.50MB

日期：2024-05-08
品言文案正式版

版本：v2.2.4

大小：24.72MB

日期：2024-05-08
荔枝小说免会员版

版本：v5.0.4

大小：15.36MB

日期：2024-05-08
好游快爆官方新版

版本：v1.5.6.803

大小：25.52MB

日期：2024-05-08

Nginx服务器https如何配置

相关推荐

电脑软件

本类排行

今日推荐

热门手游