nginx上搭建https

nginx上配置https的条件:

1、SSL证书和服务器私钥文件

2、nginx支持SSL模块

 

一、获取SSL证书

网上有提供权威认证的SSL证书的网站,但多数是收费的,而且不便宜。在正式的生产环境中,强烈不建议使用免费的SSL证书,但我们这次只是用于测试,所以决定使用下免费的SSL证书。

下面介绍几个免费的SSL证书提供商:(以下内容非原创)

  • CloudFlare SSL:CloudFlare是美国一家提供CDN服务的网站,在世界各地都有自己的CDN服务器节点,国内外很多大型公司或者网站都在使用 CloudFlare的CDN服务(百度云cdn加速在海外用的就是CloudFlare的CDN节点),当然国内站长最常用的就是CloudFlare的免费CDN,加速也很好。CloudFlare提供的免费SSL证书是UniversalSSL,即通用SSL,用户无需向证书发放机构申请和配置证书就可以使用的SSL证书,CloudFlare向所有用户(包括免费用户)提供SSL加密功能,web界面5分钟内就设置好证书,24小时内完成自动部署,为网站的流量提供基于椭圆曲线数字签名算法(ECDSA)的TLS加密服务。
  • Wosign沃通SSL:Wosign沃通是国内一家提供SSL证书服务的网站,其免费的SSL证书申请比较简单,在线开通,一个SSL证书只能对应一个域名(单一域名,非通配域名),支持证书状态在线查询协议(OCSP)。
  • StartSSL:StartSSL是StartCom公司旗下的SSL证书,提供免费SSL证书服务,且StartSSL被包括Chrome、Firefox、IE 在内的主流浏览器支持,几乎所有的主流浏览器都可以正常识别StartSSL,任何个人都可以从StartSSL中申请到免费一年的SSL证书。
  • NameCheap:NameCheap是一家领先的ICANN认可的域名注册和网站托管公司,成立于2000年。该公司提供免费DNS解析,网址转发(可隐藏原URL,支持301重定向)等服务。此外,NameCheap还提供了一年的SSL证书免费服务。
  • CloudFlare SSL和Wosign沃通SSL申请开通和安装使用:https://www.freehao123.com/cloudflare-wosign-ssl/
  • StartSSL申请:https://www.freehao123.com/startssl-ssl/
  • 在Nginx上配置NameCheap免费SSL:http://linux.it.net.cn/CentOS/course/2014/0318/520.html

需要两个文件:

  SSL证书:.crt

  私钥文件:.key

 

二、在nginx上配置支持SSL

1、检查nginx是否安装了SSL模块

# nginx -V
configure arguments: --prefix=/usr/local/nginx --with-http_sysguard_module --with-http_realip_module

这个nginx是编译安装的,编译时没有指定安装SSLL模块,需要重新编译,加上 --with-http_ssl_module

另外,nginx需要openssl提供ssl支持,也需要检查是否已经安装了openssl。

 

nginx重编译的步骤:

1)找到安装nginx的源码根目录,并查看原编译参数。

# cd /root/tengine-1.5.2
# nginx -V
configure arguments: --prefix=/usr/local/nginx --with-http_sysguard_module --with-http_realip_module

2)重新编译nginx

#./configure --prefix=/usr/local/nginx --with-http_sysguard_module --with-http_realip_module --with-http_ssl_module 
# make
注意:千万不要 make install ,否则就会覆盖安装了。

make 后,在源码根目录的objs目录中多了一个nginx程序,就是新编译的nginx程序。

3)备份旧的nginx程序

# cp -a /usr/local/nginx/sbin/nginx  /usr/local/nginx/sbin/nginx.bak 

4)用新的nginx程序覆盖旧的

# cp -a objs/nginx /usr/local/nginx/sbin/nginx

5)测试新nginx程序是否正确

# nginx -t
the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
configuration file /usr/local/nginx/conf/nginx.conf test is successful

6)平滑升级

# nginx -s reload

 

2、配置nginx server支持ssl

1)上传SSL证书文件和私钥文件到服务器

这里我们统一放到:/usr/local/nginx/conf/ssl 目录

# ls /usr/local/nginx/conf/ssl/
ca.crt  private.key

2)在特定的server中配置SSL支持

listen       443;
server_name xxx.xxx.com;

# 开启ssl支持
ssl on;
# SSL 证书 ssl_certificate
/usr/local/nginx/conf/ssl/ca.crt;
# 私钥文件 ssl_certificate_key
/usr/local/nginx/conf/ssl/private.key;

3)重启nginx服务

# nginx -t
# nginx -s reload

4) 开放防火墙的 443 端口

5)web访问,检查https是否能用

常见的异常:

  • 提示类似这样错误,说明证书配置有问题:
[emerg] 21482#0: PEM_read_bio_X509_AUX("/usr/local/nginx/conf/ssl/ca.crt") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
  • 提示类似这样的错误,说明key有问题:
[emerg] SSL_CTX_use_PrivateKey_file("/usr/local/nginx/conf/ssl/private.key") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: ANY PRIVATE KEY error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib)

 

posted @ 2016-11-11 16:11  hjqjk  阅读(8760)  评论(0编辑  收藏  举报