Nginx-HTTPS

原理部分可以参考另外一篇文章：https://www.cnblogs.com/rtnb/p/15595317.html

nginx 的https 功能基于模块ngx_http_ssl_module实现，因此如果是编译安装的nginx要使用参数ngx_http_ssl_module开启ssl功能，但是作为nginx的核心功能，yum安装的nginx默认就是开启的，编译安装的nginx需要指定编译参数--with-http_ssl_module开启，官方文档： https://nginx.org/en/docs/http/ngx_http_ssl_module.html，配置参数如下：

ssl on | off; 
#为指定的虚拟主机配置是否启用ssl功能，此功能在1.15.0废弃，使用listen [ssl]替代

ssl_certificate /path/to/file;
#当前虚拟主机使用使用的公钥文件，一般是crt文件

ssl_certificate_key /path/to/file;
#当前虚拟主机使用的私钥文件，一般是key文件

ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];
#支持ssl协议版本，早期为ssl,现在是TSL，默认为后三个

ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
#配置ssl缓存
off： 关闭缓存
none: 通知客户端支持ssl session cache，但实际不支持
builtin[:size]：使用OpenSSL内建缓存，为每worker进程私有
[shared:name:size]：在各worker之间使用一个共享的缓存，需要定义一个缓存名称和缓存空间大小，一兆可以存储4000个会话信息，多个虚拟主机可以使用相同的缓存名称

ssl_session_timeout time;#客户端连接可以复用ssl session cache中缓存的有效时长，默认5m

自签名 证书

自签名CA证书
openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 3650 -out ca.crt #自签名CA证书

自制key和csr文件
openssl req -newkey rsa:4096 -nodes -sha256 -keyout www.magedu.net.key   -out www.magedu.net.csr

签发证书
openssl x509 -req -days 3650 -in www.magedu.net.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out www.magedu.net.crt

验证证书内容
openssl x509 -in www.magedu.net.crt -noout -text

文件配置

server {
        listen       443 ssl;
        server_name  mobile.magedu.com;

        ssl_certificate      /usr/local/nginx/mobile.magedu.com.crt;
        ssl_certificate_key  /usr/local/nginx/mobile.magedu.com.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location /about {
            root   /data/nginx/html/mobile/;
            index  index.html index.htm;
        }
    }

测试访问