Nginx上安装SSL证书

准备#

参考：链接

下载的Nginx证书压缩文件解压后包含：

.pem：证书文件。PEM文件的扩展名为CRT格式。
.key：证书密钥文件。申请证书时如果未选择自动创建CRS，则下载的证书文件压缩包中不会包含.key文件，需要您自己手动创建证书密钥文件。

说明： .pem证书文件是采用Base64编码的文本文件，您可根据需要修改成其他扩展名

操作步骤#

1、使用远程登录工具（如PuTTY或者Xshell）登录您的Nginx服务器，在Nginx安装目录（Nginx默认安装目录为 /etc/nginx/）执行以下命令创建cert目录

1 2	`cd /etc/nginx #进入Nginx默认安装目录。此处为Nginx默认安装目录，请您根据实际配置情况操作。` `mkdir cert #创建cert证书目录。`

2、使用远程登录工具（如PuTTY或者Xshell）附带的本地文件上传功能，将下载的证书文件和密钥文件上传到Nginx服务器的cert目录下。

3、执行以下命令打开Nginx安装目录nginx.conf配置文件并进行编辑

1	`vim /etc/nginx/nginx.conf #打开配置文件。此处为Nginx默认配置文件目录，请您根据实际配置情况操作。`

按i键进入编辑模式，在配置文件中找到HTTP协议代码片段，在HTTP协议代码里面新增以下server配置示例。如果server配置已存在，按照以下注释内容修改相应的配置即可：

#以下属性中以ssl开头的属性代表与证书配置有关，其他属性请根据自己的需要进行配置。
server {
         listen 443; #配置HTTPS的默认访问端口号为443。此处如果未配置HTTPS的默认访问端口，可能会造成Nginx无法启动。Nginx 1.15.0以上版本请使用listen 443 ssl代替listen 443和ssl on。
         server_name www.certificatestests.com; #将www.certificatestests.com修改为您证书绑定的域名，例如：www.example.com。如果您购买的是通配符域名证书，要修改为通配符域名，例如：*.aliyun.com。
         root html;
         index index.html index.htm;
         ssl_certificate cert/domain name.pem;  #将domain name.pem替换成您证书的文件名称。
         ssl_certificate_key cert/domain name.key; #将domain name.key替换成您证书的密钥文件名称。
         ssl_session_timeout 5m;
         ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #使用此加密套件。
         ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #使用该协议进行配置。
         ssl_prefer_server_ciphers on;
         location / {
         root html;  #站点目录。
         index index.html index.htm;
                    }
      }

配置文件修改完毕之后，按Esc键后输入:wq！，然后按Enter键保存修改的配置文件并退出编辑模式。

4、执行以下命令进入Nginx服务器的可执行目录sbin并重启Nginx服务器

1	`systemctl restart nginx`

说明：

如果重启Nginx服务器出现报错the "ssl" parameter requires ngx_http_ssl_module，您需要重新编译Nginx并在编译安装的时候加上--with-http_ssl_module配置。
如果重启Nginx服务器出现报错"/cert/3970497_pic.certificatestests.com.pem":BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/cert/3970497_pic.certificatestests.com.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)，您需要去掉证书相对路径最前面的/。例如，您需要去掉/cert/3970497_pic.certificatestests.com.pem最前面的/，使用正确的相对路径cert/3970497_pic.certificatestests.com.pem。

5、设置HTTP请求自动跳转HTTPS　　

在需要跳转的HTTP站点下添加以下rewrite语句，实现HTTP访问自动跳转到HTTPS页面

server {
 listen 443;
 server_name www.certificatestests.com; #将www.certificatestests.com修改为您证书绑定的域名，例如：www.example.com。
rewrite ^(.*)$ https://$host$1 permanent;   #将所有HTTP请求通过rewrite重定向到HTTPS。
 location / {
index index.html index.htm;
}
}

6、测试

输入域名测试　　

更新版#

server {
        listen       443 ssl http2;
        listen       [::]:443 ssl http2;
        server_name  www.blogpam.cn;
        ssl_certificate  /usr/local/include/cert/1_blogpam.cn_bundle.crt;
        ssl_certificate_key /usr/local/include/cert/2_blogpam.cn.key;
        ssl_session_timeout 5m;
        #请按照以下协议配置
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
        #请按照以下套件配置，配置加密套件，写法遵循 openssl 标准。
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
        ssl_prefer_server_ciphers on;
        location / {
        #网站主页路径。此路径仅供参考，具体请您按照实际目录操作。
            proxy_pass http://82.157.21.225:8080;
       }
}