nginx上搭建https
nginx上配置https的条件:
1、SSL证书和服务器私钥文件
2、nginx支持SSL模块
一、获取SSL证书
网上有提供权威认证的SSL证书的网站,但多数是收费的,而且不便宜。在正式的生产环境中,强烈不建议使用免费的SSL证书,但我们这次只是用于测试,所以决定使用下免费的SSL证书。
下面介绍几个免费的SSL证书提供商:(以下内容非原创)
- CloudFlare SSL:CloudFlare是美国一家提供CDN服务的网站,在世界各地都有自己的CDN服务器节点,国内外很多大型公司或者网站都在使用 CloudFlare的CDN服务(百度云cdn加速在海外用的就是CloudFlare的CDN节点),当然国内站长最常用的就是CloudFlare的免费CDN,加速也很好。CloudFlare提供的免费SSL证书是UniversalSSL,即通用SSL,用户无需向证书发放机构申请和配置证书就可以使用的SSL证书,CloudFlare向所有用户(包括免费用户)提供SSL加密功能,web界面5分钟内就设置好证书,24小时内完成自动部署,为网站的流量提供基于椭圆曲线数字签名算法(ECDSA)的TLS加密服务。
- Wosign沃通SSL:Wosign沃通是国内一家提供SSL证书服务的网站,其免费的SSL证书申请比较简单,在线开通,一个SSL证书只能对应一个域名(单一域名,非通配域名),支持证书状态在线查询协议(OCSP)。
- StartSSL:StartSSL是StartCom公司旗下的SSL证书,提供免费SSL证书服务,且StartSSL被包括Chrome、Firefox、IE 在内的主流浏览器支持,几乎所有的主流浏览器都可以正常识别StartSSL,任何个人都可以从StartSSL中申请到免费一年的SSL证书。
- NameCheap:NameCheap是一家领先的ICANN认可的域名注册和网站托管公司,成立于2000年。该公司提供免费DNS解析,网址转发(可隐藏原URL,支持301重定向)等服务。此外,NameCheap还提供了一年的SSL证书免费服务。
- CloudFlare SSL和Wosign沃通SSL申请开通和安装使用:https://www.freehao123.com/cloudflare-wosign-ssl/
- StartSSL申请:https://www.freehao123.com/startssl-ssl/
- 在Nginx上配置NameCheap免费SSL:http://linux.it.net.cn/CentOS/course/2014/0318/520.html
需要两个文件:
SSL证书:.crt
私钥文件:.key
二、在nginx上配置支持SSL
1、检查nginx是否安装了SSL模块
# nginx -V
configure arguments: --prefix=/usr/local/nginx --with-http_sysguard_module --with-http_realip_module
这个nginx是编译安装的,编译时没有指定安装SSLL模块,需要重新编译,加上 --with-http_ssl_module
另外,nginx需要openssl提供ssl支持,也需要检查是否已经安装了openssl。
nginx重编译的步骤:
1)找到安装nginx的源码根目录,并查看原编译参数。
# cd /root/tengine-1.5.2
# nginx -V
configure arguments: --prefix=/usr/local/nginx --with-http_sysguard_module --with-http_realip_module
2)重新编译nginx
#./configure --prefix=/usr/local/nginx --with-http_sysguard_module --with-http_realip_module --with-http_ssl_module
# make
注意:千万不要 make install ,否则就会覆盖安装了。
make 后,在源码根目录的objs目录中多了一个nginx程序,就是新编译的nginx程序。
3)备份旧的nginx程序
# cp -a /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
4)用新的nginx程序覆盖旧的
# cp -a objs/nginx /usr/local/nginx/sbin/nginx
5)测试新nginx程序是否正确
# nginx -t the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok configuration file /usr/local/nginx/conf/nginx.conf test is successful
6)平滑升级
# nginx -s reload
2、配置nginx server支持ssl
1)上传SSL证书文件和私钥文件到服务器
这里我们统一放到:/usr/local/nginx/conf/ssl 目录
# ls /usr/local/nginx/conf/ssl/ ca.crt private.key
2)在特定的server中配置SSL支持
listen 443; server_name xxx.xxx.com; # 开启ssl支持
ssl on;
# SSL 证书 ssl_certificate /usr/local/nginx/conf/ssl/ca.crt;
# 私钥文件 ssl_certificate_key /usr/local/nginx/conf/ssl/private.key;
3)重启nginx服务
# nginx -t
# nginx -s reload
4) 开放防火墙的 443 端口
5)web访问,检查https是否能用
常见的异常:
- 提示类似这样错误,说明证书配置有问题:
[emerg] 21482#0: PEM_read_bio_X509_AUX("/usr/local/nginx/conf/ssl/ca.crt") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
- 提示类似这样的错误,说明key有问题:
[emerg] SSL_CTX_use_PrivateKey_file("/usr/local/nginx/conf/ssl/private.key") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: ANY PRIVATE KEY error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib)