NGINX 配置本地HTTPS(免费证书)

1、Linux系统下生成证书

1.1 生成秘钥key,运行:

openssl genrsa -des3 -out server.key 2048

会有两次要求输入密码,输入同一个即可

输入密码

然后你就获得了一个server.key文件.

1.2 取消密码

以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令:

openssl rsa -in server.key -out server.key

1.3 申请server.csr

创建服务器证书的申请文件server.csr,运行:

openssl req -new -key server.key -out server.csr

其中Country Name填CN,Common Name填主机名也可以不填,如果不填浏览器会认为不安全.(例如你以后的url为https://abcd/xxxx….这里就可以填abcd),其他的都可以不填.

1.4 创建CA证书:

openssl req -new -x509 -key server.key -out ca.crt -days 3650

此时,你可以得到一个ca.crt的证书,这个证书用来给自己的证书签名.

1.5 创建server.crt

创建自当前日期起有效期为期十年的服务器证书server.crt：

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt

ls你的文件夹,可以看到一共生成了5个文件:

ca.crt ca.srl server.crt server.csr server.key

其中,server.crt和server.key就是你的nginx需要的证书文件.

2、如何配置nginx

2.1 拷贝文件

把server.crt 和server.key 文件放在nginx/conf文件夹下。(和nginx.conf文件同一文件夹)

ssl_certificate server.crt;
ssl_certificate_key server.key;

2.2 nginx配置

打开你的nginx配置文件,搜索443找到https的配置,去掉这段代码的注释.或者直接复制我下面的这段配置:

server {
        listen       443 ssl;
        server_name  localhost;
	#ssl on;
	ssl_certificate server.crt;
	ssl_certificate_key server.key;
        ssl_session_timeout  5m;
	ssl_protocols SSLv2 SSLv3 TLSv1;
	ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
	ssl_prefer_server_ciphers on;


        location / {
            root   html;
            index  index.html index.htm;
        }
    }

将ssl_certificate改为server.crt的路径,将ssl_certificate_key改为server.key的路径.
nginx -s reload 重载配置
至此,nginx的https就可以使用了,默认443端口.

3、自动跳转https配置

nginx 80端口重定向到443端口，也就是http访问自动跳转到https
配置如下：

server {
    listen 80;
    server_name www.域名.com;
    rewrite ^(.*)$ https://${server_name}$1 permanent;
}
server {
    listen 443 ssl;
    server_name www.域名.com;
    ssl_certificate server.crt;
    ssl_certificate_key server.key;
    ....
}