nginx配置ssl证书实现https访问

配置ssl证书以前，先准备SSL证书，至于获取的途径不少（阿里云的服务，第三方服务购买）。这里不详细解释。如下是个人SSL证书

 

准备好证书后，找到nginx的安装目录，个人安装位置为：/usr/local/nginx

 

进入 config/nginx.conf
若是没有装winscp（一款可视化文件操做工具）的。能够经过命令行的方式，编辑nginx的config文件。

开始配置文件的修改
在修改配置文件以前，最好作一个备份，防止修改错误，也能及时回退错误

一、找到第一个监听80端口的server:一下是我修改好的server

server {
listen 80;
server_name 须要访问的域名;

rewrite ^(.*) https://$server_name$1 permanent; #这句是表明 把http的域名请求转成https

#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
proxy_pass http://须要访问的域名; #由于这里仍是80端口，因此保持http就能够了

}
}

在实际的配置文件中，最好把我上面的备注删除

二、第一个server修改好了以后。那么就须要开始配置第二个server。拉到文件的底部。看到有一个https类型的server。并且已经所有被注释封上了，这是咱们须要改的第二个server，如图：

 

这里除了HTTPS server这行以外，其余的 # 删除，启动https模块

# HTTPS server
#
server {
listen 443 ssl;
server_name 须要访问的域名，这里也不用加https;

ssl on;

ssl_certificate /usr/local/nginx/ssl/ssl.pem; #这里是ssl key文件存放的绝对路径，根据本身的文件名称和路径来写
ssl_certificate_key /usr/local/nginx/ssl/ssl.key; #这里是ssl key文件存放的绝对路径，根据本身的文件名称和路径来写

ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;

ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

location / {
proxy_pass http://须要访问的域名:8080/;
}
}

配置好后，nginx的配置就算是完成了。不过这只是配置ssl证书的第一步！

接下来就是要让配置文件生效：

一、进去nginx的sbin文件夹，个人sbin文件夹在：/usr/local/nginx/sbin
执行如下语句：检验配置文件是否有错误

./nginx -t

若是nginx曾经安装过SSL模块，那么应该会显示如下界面：（若是已经显示配置成功，那么能够跳过这一步，直接重启nginx就能够了）

 

但是大多数第一次安装https证书，都会报错，说缺乏SSL模块，以下：

 

二、这时候咱们就能够先安装SSL模块：
先确认2个位置：
1）个人nginx是安装在了/usr/local/nginx/下
2）个人nginx的源码包放在了/usr/local/nginx/nginx/nginx-1.8.0下。若是没有的话，从新下载你对应的nginx版本的源码包，找个目录解压

三、目录切换到咱们的源码包安装位置：

cd /usr/local/nginx/nginx/nginx-1.8.0

四、执行语句，从新安装ssl模块：

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
这时候可能又会有点小插曲，启动ssl模块的时候，报错了：

 

看到了error。就知道linux安装失败，中止了。这个错误是由于咱们没有安装openssl openssl-devel（若是这一步没有报错的话，能够跳过下面的安装openssl-devel的步骤）

五、那么能够先执行安装openssl openssl-devel语句：

yum -y install openssl openssl-devel

安装上了 openssl-devel后，从新执行：./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

六、这时候应该就执行配置成功了。配置成功后，那么就须要编译咱们的配置。（注意这里只能用make 而不要用make install，由于执行make install是覆盖安装的意思）
运行：

make

等待执行完成后，咱们须要把新编译的nginx模块替换原来的nginx。

七、仍是老规矩，先备份旧的nginx，执行语句（这里面复制的文件的路径须要根据大家安装的目录自行修改，若是和我安装的路径是同样的那么能够直接运行该语句）：

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
1
八、关闭nginx（由于要把新的模块覆盖旧的nginx）

先找到nginx端口号，如图，目前我nginx的进程号为：13542

ps -ef|grep nginx

 

杀死该进程就能够了，执行语句：

kill -QUIT 13542

九、关闭nginx进程后就能够开始替换了（注意：我当前的位置是在我nginx的源码包中，目录不要搞错了）

 

执行：（复制到个人nginx的目录中）

cp ./objs/nginx /usr/local/nginx/sbin/

而后就是启动nginx。在启动以前，也能够在测试一次配置文件是否已经生效：

#先切换到sbin目录
cd /usr/local/nginx/sbin/
#检测nginx的配置文件是否有错误
./niginx -t

看到这样的，就是已经成功了

 

最后启动nginx：

/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

由于刚才替换nginx模块的时候是把nginx进程都杀死了，因此要用上面的命令进行启动，而不能使用reload重启。

nginx正常启动后，咱们在访问咱们的网站，发现https就已经配置好了：

 

小拓展：
刚才配置nginx的时候是直接在配置文件上作修改，其实咱们能够把小的配置抽离出去，尽可能保持原配置文件不被修改

咱们能够在原有配置文件中，加上这句（注意做用域范围，是引入到http的｛｝以内）：

include vhost/*.conf;

 

接下来，须要找到对应的配置文件，由于咱们这里的路径是直接 vhost。因此在配置文件同级目录，新建一个 vhost 文件夹，并且咱们引入的是 *.conf 。意思就是引入vhost中全部后缀是.conf的配置文件：

在配置文件中，加上咱们刚才教程提到的配置：

server {
listen 80;
server_name 须要访问的域名（不加http头）;

rewrite ^(.*) https://$server_name$1 permanent;

#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
proxy_pass http://须要访问的域名

}
}

# HTTPS server
#
server {
listen 443 ssl;
server_name 须要访问的域名;

ssl on;

ssl_certificate /usr/local/nginx/ssl/ssl.pem;
ssl_certificate_key /usr/local/nginx/ssl/ssl.key;

ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;

ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

location / {
proxy_pass http://须要访问的域名:8080/;
}
}

保存后，也是使用nginx -t测试配置文件是否成功，成功后重启nginx便可。

若是有多个二级域名，那么就复制多份 xx.conf文件便可，配置文件会自动引入到nginx的配置中，不过每次新增配置文件都须要检测一遍，而后重启nginx