nginx配置ssl并http重定向到https
Nginx 证书部署
首先去购买证书,以腾讯云为例子,购买好了以后,下载了证书,解压获得3个文件夹,分别是Apache、IIS、Nginx 服务器的证书文件
1 获取证书
Nginx文件夹内获得SSL证书文件 1_www.xxx.com_bundle.crt 和私钥文件 2_www.xxx.com.key,
2 证书安装
将域名 www.xxx.com 的证书文件1_www.xxx.com_bundle.crt 、私钥文件2_www.xxx.com.key保存到服务器上同一个目录,例如/usr/local/nginx/conf目录下。
修改Nginx根目录下 conf/nginx.conf 文件如下:
server {
listen 443;
server_name www.xxx.com; #填写绑定证书的域名
ssl on;
ssl_certificate 1_www.xxx.com_bundle.crt;
ssl_certificate_key 2_www.xxx.com.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置 这里不需要更改
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置 这里不需要更改
ssl_prefer_server_ciphers on;
}
需要修改的就是上述红字部分。
配置完成后,先用bin/nginx –t来测试下配置是否有误,正确无误的话,
重启nginx。 service nginx restart
然后使用 https://www.xxx.com 来访问。
当然,有可能浏览器的https旁边的绿色小锁带有黄色感叹号,那是因为当前网站还是有http的链接,最多的应该是图片,图片的链接,就需要自己根据框架或者是直接改动数据库来操作了。
注:
配置文件参数 说明
listen 443 SSL访问端口号为443
ssl on 启用SSL功能
ssl_certificate 证书文件
ssl_certificate_key 私钥文件
ssl_protocols 使用的协议
ssl_ciphers 配置加密套件,写法遵循openssl标准
3 使用全站加密,http自动跳转https(可选)
对于用户不知道网站可以进行https访问的情况下,让服务器自动把http的请求重定向到https。
在服务器这边的话配置的话,可以在页面里加js脚本,也可以在后端程序里写重定向,当然也可以在web服务器来实现跳转。
Nginx是支持rewrite的(只要在编译的时候没有去掉pcre)
在http的server里增加rewrite ^(.*) https://$host$1 permanent;
server {
listen 80;
server_name xxx.com www.xxx.com;
rewrite ^(.*) https://$host$1 permanent;
}
要新加一个server 不要写在listen 443里面,写在里面就一直是https重定向到https,进入死循环。
这样如果是http,就会跳转到https, 比如访问xxx.com或者www.xxx.com 都会重定向到https://www.xxx.com
————————————————
版权声明:本文为CSDN博主「pendant59」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/benpaodelulu_guajian/java/article/details/78456971
详解nginx服务器http重定向到https的正确写法
http重定向到https使用了nginx的重定向命令。那么应该如何写重定向?之前老版本的nginx可能使用了以下类似的格式。
|
1
|
rewrite ^/(.*)$ http://domain.com/$1 permanent; |
或者
|
1
|
rewrite ^ http://domain.com$request_uri? permanent; |
现在nginx新版本已经换了种写法,上面这些已经不再推荐。
下面是nginx http页面重定向到https页面最新支持的写法:
|
1
2
3
4
5
6
7
8
9
10
11
12
|
server { listen 80; server_name my.domain.com; return 301 https://$server_name$request_uri;}server { listen 443 ssl; server_name my.domain.com; [....]} |
以上就是本文的全部内容,希望对大家的学习有所帮助。
参考文章:https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/#taxing-rewrites
最新的写法:
server {
listen 80;
server_name xxx.abc.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443;
server_name xxx.abc.com;
}
---------------
Nginx 配置SSL及Http跳转到Https
随着微信小程序和appstore对ssl安全的需求,越来越多的网站和app需要支持SSL功能,需要开启https的方式来打开网站或传输数据。
ssl证书网上可以找到收费和免费的申请,nginx配置如下:
Nginx配置SSL并把Http跳转到Https,需要修改Nginx.conf配置文件:
#原80端口做301转跳 server { listen 80; server_name w3cschool.cn www.w3cschool.cn; return 301 https://www.zhimiyun.com$request_uri; #跳转到Https }#配置ssl证书和开启ssl功能 server { listen 443; server_name www.w3cschool.cn; root wwwroot; index index.html index.htm; ssl on; ssl_certificate /usr/ssl/ca.pem; #证书地址 ssl_certificate_key /usr/ssl/ca.key; ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; ssl_prefer_server_ciphers on; error_page 497 "https://$host$uri?$args"; #这是跳转Http请求到Https location / { ... } }
也就是再添加一个虚拟机server,80端口一个,443端口一个。
但是有些程序只会给你往端口上转发,不会自动修正http为https,这样的程序还不少,例如phpmyadmin:
遇到这样的程序我们需要修改Nginx.conf配置文件,在443的server的fastcgi字段中添加一个语句:
fastcgi_param HTTPS on; #attention!#
location ~ .*\.(php|php5)?$
{
try_files $uri =404;
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
fastcgi_param HTTPS on; #attention!#
include fcgi.conf;
}
把http重定向到https使用了nginx的重定向命令。那么应该如何写重定向?之前老版本的nginx可能使用了以下类似的格式。
rewrite ^/(.*)$ http://domain.com/$1 permanent;
或者
rewrite ^ http://domain.com$request_uri? permanent;
现在nginx新版本已经换了种写法,上面这些已经不再推荐。现在网上可能还有很多文章写的是第一种。
新的写法比较推荐方式是:
return 301 http://domain.com$request_uri;
-----------
评论:
从 HTTP 到 HTTPS 的劫持问题业界目前已经有 HSTS (HTTP Strict Transport Security)的方案,具体实践上有两种做法:
(1)可以考虑在 Nginx 的配置文件中添加 HSTS 响应头,例如
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
相当于告诉浏览器在一定时间内对该域名以及所有子域名在访问时强制 HTTPS;
(2)手动提交自己的域名到浏览器的 HSTS Preload List 里面来使浏览器强制使用 HTTPS 进行访问。可以在这里进行提交。
参考资料:
https://zh.wikipedia.org/wiki/HTTP%E4%B8%A5%E6%A0%BC%E4%BC%A0%E8%BE%93%E5%AE%89%E5%85%A8
https://www.nginx.com/blog/http-strict-transport-security-hsts-and-nginx/
踩了个坑, 多 server_name 必须用 $host 来 return… 不然其他域名都只会跳 server_name 中的第一个域名…
这样不是挺好吗,把想要重定向的唯一域名放到第一位,只要一条
if ( $scheme = http ){
return 301 https://$server_name$request_uri;
}
就能完成全站301重定向了
cat https.conf
server {
listen 80;
server_name a.tu.cn;
rewrite ^(.*) https://$host$1 permanent;
}
server{
#监听的本机外网ip,默认访问80端口,跳转到本机的5008端口
listen 443;
server_name a.tu.cn;
ssl on;
ssl_certificate /nginx/tu.crt;
ssl_certificate_key /nginx/tu.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
if ($scheme = http ) {
return 301 https://a.tu.cn;
}
error_page 497 https://a.tu.cn;
# 缓存的静态文件,解决gunicorn资源文件丢失问题
location ~^/(media|static)/ {
root /data;
#过期30天,静态文件不怎么更新,过期可以设大一点,如果频繁更新,则可以设置得小一点。
expires 30d;
}
location /static{
alias /data/static;
}
location / {
proxy_redirect off;
proxy_set_header REMOTE_ADDR $remote_addr;
proxy_set_header X-Forwarded_For $proxy_add_x_forwarded_for;
proxy_hide_header X-Frame-Options;
add_header X-Frame-Options SAMEORIGIN;
proxy_pass http://127.0.0.1:5001/;
#real_ip_recursive on;
}
}
