centos7.x下环境搭建(五)—nginx搭建https服务

时间 2019-12-12

标签 centos7.x centos 环境搭建 nginx https 服务栏目 CentOS 繁體版

原文原文链接

https证书获取

十大免费SSL证书
https://blog.csdn.net/ithomer/article/details/78075006html

若是咱们用的是阿里云或腾讯云，他们都提供了免费版的ssl证书，咱们直接下载就能够了，这里我使用的是阿里云提供的免费证书nginx

修改nginx配置

一、在nginx安装目录下建立cert目录并将.pem和.key的证书拷贝到该目录下
.crt文件：是证书文件，crt是pem文件的扩展名。
.key文件：证书的私钥文件浏览器

二、nginx.conf配置安全

若是咱们须要配置多站点的话，咱们在根目录下建立一个vhost目录，并新建.conf结尾的文件，加入如下内容服务器

server {
    listen              443 ssl;
    server_name         test.test.cn;
    ssl_certificate     /etc/nginx/cert/2283621_test.cn.pem;
    ssl_certificate_key /etc/nginx/cert/2283621_test.cn.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
         location / {
           proxy_set_header Host $host;
           proxy_set_header X-Real-Ip $remote_addr;
           proxy_set_header X-Forwarded-For $remote_addr;
           proxy_pass http://localhost:7001;
        }
 }

而后修改nginx.conf配置文件，并在http节点里面最后一行添加以下配置tcp

include /etc/nginx/vhost/*.conf;

这样在配置多站点的时候，咱们就直接能够在vhost下新建一个.conf结尾的文件就好了阿里云

三、转发80端口到https.net

配置完https以后，默认端口是443，但若是使用http请求的话，并不会跳转到https，这时候咱们须要将80端口转发到https上面来
添加80端口监听listen 80日志

server {
    listen       80;
    listen              443 ssl;
    server_name         love.diankr.cn;
    ssl_certificate     /etc/nginx/cert/2283621_test.cn.pem;
    ssl_certificate_key /etc/nginx/cert/2283621_test.cn.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
         location / {
           proxy_set_header Host $host;
           proxy_set_header X-Real-Ip $remote_addr;
           proxy_set_header X-Forwarded-For $remote_addr;
           proxy_pass http://localhost:7001;
        }
 }

这样在访问http://开头的地址的时候会自动跳转到https地址下code

添加iptables规则开放80和443端口

nginx安装完以后除了须要开放80端口以外，还须要开放443端口

#添加如下iptables规则开放80端口
iptables -I INPUT -p tcp --dport 80 -j ACCEPT

#iptables添加2条规则用于开放443端口
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT
规则1用于放行客户端请求https服务的报文
规则2用于放行https服务器发送给客户端的报文

查看nginx错误日志

tail -f -n 20  /var/log/nginx/error.log

问题总结

一、nginx: [warn] the "ssl" directive is deprecated的解决方法

这是一个warn警告，nginx提示ssl这个指令已经不建议使用，要使用listen ... ssl替代。网上查找nginx更新日志里面，也有提到：
Change: the “ssl” directive is deprecated; the “ssl” parameter of the “listen” directive should be used instead.
ssl不建议做为一个指令使用，而是应该listen指令的一个参数。

解决
若是使用listen 443 ssl，删除ssl on就好了。

二、在配置好ssl以后，以及将443端口添加到了阿里云的安全组，浏览器访问最终仍是没法访问，提示拒绝了请求连接
分析以后发现仍是跟防火墙有关系
解决

#清除系统中防火墙默认规则
iptables -F

参考阅读

https://www.jianshu.com/p/8ae92227c4fe
https://help.aliyun.com/knowledge_detail/95491.html?spm=5176.2020520163.cas.33.4f7dfDOHfDOHtD