配置https首先要有ssl证书,这个证书目前阿里有免费的,但如果自己做实验,也是可以自签证书,只不过不受信
openssl genrsa -des3 -out server.key 1024 ##创建服务器私钥
openssl req -new -key server.key -out server.csr ##创建签名请求的证书
cp server.key server.key.org ##复制一份
openssl rsa -in server.key.org -out server.key ##
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
此时你的目录会有 server.key server.crt 两个文件。之后,配置nginx
server {
listen 80 ; ##这一步 是为了后面的http转换https ,如果不需要 可以不写。
listen 443;
server_name www.c.com;
if ($scheme = http) { ##这一步是为了把http的请求重定向为https,如果不需要 可以不写
return 301 https://$host$request_uri;
}
charset utf-8;
ssl on;
ssl_certificate /usr/local/nginx/server.crt; ##生成的crt文件
ssl_certificate_key /usr/local/nginx/server.key; ## 生成的key文件
ssl_session_timeout 5m; ##session超时时间
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ## 这个和底下的都是官网给的默认的照着写就行
ssl_ciphers HIGH:!aNULL:!MD5;
root /local/nginx/;
access_log /local/nginx/logs/PosWeb/https_access.log main;
include /etc/nginx/default.d/*.conf;
include /etc/nginx/utils/honeyjar/keywords.conf;
location / {
proxy_set_header X-FORWARDED-PROTO https;
proxy_set_header Host ;
proxy_set_header X-Real-IP ;
proxy_set_header X-Forwarded-For ;
proxy_pass https://upstream;
}
然后基本OK。自己去网上找个受信的证书。基本就可以用来了
如何处理一个请求
首先看一个nginx部分的配置文件:
upstream PosWeb {
server pos-web01:8081;
server pos-web02:8081;
}
server {
listen 80;
server_name
www.a.com
www.b.com;
charset utf-8;
root /local/nginx/;
access_log /local/nginx/logs/PosWeb/access.log main;
include /etc/nginx/utils/honeyjar/keywords.conf;
location / {
proxy_set_header Host ;
proxy_set_header X-Real-IP ;
proxy_set_header X-Forwarded-For ;
proxy_pass http://PosWeb;
}
}
upstream PosWeb_https {
server pos-web01:9143;
server pos-web02:9143;
}
server {
listen 443;
server_name www.c.com;
charset utf-8;
ssl on;
ssl_certificate /usr/local/nginx/ssl/fcwangpu.crt;
ssl_certificate_key /usr/local/nginx/ssl/fcwangpu.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
root /local/nginx/;
access_log /local/nginx/logs/PosWeb/https_access.log main;
include /etc/nginx/default.d/*.conf;
include /etc/nginx/utils/honeyjar/keywords.conf;
location / {
proxy_set_header X-FORWARDED-PROTO https;
proxy_set_header Host ;
proxy_set_header X-Real-IP ;
proxy_set_header X-Forwarded-For ;
proxy_pass https://PosWeb_https;
}
}
}
以上配置,一个443端口的https 一个是80端口的http
但是有个问题,比如我访问https://www.a.com 是可以访问的。
疑惑是我并没有给www.a.com这个域名配置https,为什么https可以访问www.a.com
后来去官网nginx.org查看
nginx请求是这样,在官网原文是这样写的
In this configuration nginx tests only the request’s header field “Host” to determine which server the request should be routed to. If its value does not match any server name, or the request does not contain this header field at all, then nginx will route the request to the default server for this port. In the configuration above, the default server is the first one — which is nginx’s standard default behaviour. It can also be set explicitly which server should be default, with the default_server parameter in the listen directive
以上意思翻译过来是说,请求会根据你的host进行匹配,如果找到匹配项,就去匹配的项目上请求。如果没有找到匹配项,就会去这个端口默认的服务请求,也就是默认的serve_name,默认的server_name 怎么判定,默认的是写在这个端口上的第一个server,就默认为他是默认服务。
看一个配置文件
server{
listen 80;
server_name bbb.org www.bbb.org;
}
server{
listen 80;
server_name aaa.org www.aaa.org;
}
以上配置,默认 bbb.org 为默认的配置,也就是说,我用http请求 ,对这台服务器,请求了一个www.ccc.com 但是80端口并没有这个server_name ,那么这个请求就
会自动跑到第一个上面,也就是说请求会到bbb.org上。
(以下也是nginx.org 官网的原话 这个意思和上面的差不太多,感兴趣自己翻译一下)
The default_server parameter, if present, will cause the server to become the default server for the specified address:port pair. If none of the directives have the default_server parameter then the first server with the address:port pair will be the default server for this pair
那么,如何配置我们的aaa.org为默认端口,以下配置就可以
server{
listen 80;
server_name bbb.org www.bbb.org;
}
server{
listen 80 default_server;
server_name aaa.org www.aaa.org;
}
这样,如果我去请求 www.ccc.com 请求找不到,就会自动去aaa.org上面去请求。