操作场景
本文档指导您如何在 Nginx 服务器中安装 SSL 证书。
说明:
前提条件
- 已准备文件远程拷贝软件,例如 WinSCP(建议从官方网站获取最新版本)。
- 已准备远程登录工具,例如 PuTTY 或者 Xshell(建议从官方网站获取最新版本)。
- 已在当前服务器中安装配置 Nginx 服务。
- 安装 SSL 证书前需准备的数据如下:
说明 |
|
服务器的 IP 地址 |
服务器的 IP 地址,用于 PC 连接到服务器。 |
密码 |
登录服务器的密码。 |
操作步骤
证书安装
- 文件夹名称:Nginx
- 文件夹内容:
- 1_www.domain.com_bundle.crt 证书文件
- 2_www.domain.com.key 私钥文件
- CSR 文件内容: www.domain.com.csr 文件
说明:
CSR 文件是申请证书时由您上传或系统在线生成的,提供给 CA 机构。安装时可忽略该文件。
- 使用 “WinSCP”(即本地与远程计算机间的复制文件工具)登录 Nginx 服务器。
- 将已获取到的 1_www.domain.com_bundle.crt 证书文件和 2_www.domain.com.key 私钥文件从本地目录拷贝到 Nginx 服务器的 /usr/local/Nginx/conf 目录(此处为默认安装目录,请根据实际情况操作)下。
说明:
若无 /usr/local/Nginx/conf 目录,可通过执行 mkdir -p /usr/local/Nginx/conf 命令行创建。
说明:
- 此操作可通过执行 vim /usr/local/Nginx/conf/Nginx.conf 命令行编辑该文件。
- 由于版本问题,配置文件可能存在不同的写法。例如:Nginx 版本为 Nginx/1.15.0 以上请使用 listen 443 ssl 代替 listen 443 和 ssl on。
server {
#SSL 访问端口号为 443
listen 443 ssl;
#填写绑定证书的域名
server_name www.domain.com;
ssl_certificate 1_www.domain.com_bundle.crt;
ssl_certificate_key 2_www.domain.com.key;
ssl_session_timeout 5m;
#请按照以下协议配置
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
location / {
#网站主页路径。此路径仅供参考,具体请您按照实际目录操作。
root /var/www/www.domain.com;
index index.html index.htm;
}
}
./sbin/Nginx -t
- 重启 Nginx,即可使用 https://www.domain.com 进行访问。
HTTP 自动跳转 HTTPS 的安全配置(可选)
若您不了解通过 HTTPS 访问网站的方式,可以通过配置服务器,让其自动将 HTTP 的请求重定向到 HTTPS。您可以通过以下操作设置:
- 根据实际需求,选择以下配置方式:
- 在页面中添加 JS 脚本。
- 在后端程序中添加重定向。
- 通过 Web 服务器实现跳转。
- Nginx 支持 rewrite 功能。若您在编译时没有去掉 pcre,您可在 HTTP 的 server 中增加 return 301 https://$host$request_uri;,即可将默认80端口的请求重定向为 HTTPS。修改如下内容:
-
- server {
- listen 443 ssl;
- #填写绑定证书的域名
- server_name www.domain.com;
- #网站主页路径。此路径仅供参考,具体请您按照实际目录操作。
- root /var/www/www.domain.com;
- index index.html index.htm;
- #证书文件名称
- ssl_certificate 1_www.domain.com_bundle.crt;
- #私钥文件名称
- ssl_certificate_key 2_www.domain.com.key;
- ssl_session_timeout 5m;
- ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
- ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- ssl_prefer_server_ciphers on;
- location / {
- index index.html index.htm;
- }
- }
- server {
- listen 80;
- #填写绑定证书的域名
- server_name www.domain.com;
- #把http的域名请求转成https
- return 301 https://$host$request_uri;
}
说明:
未添加注释的配置语句,您按照上述配置即可。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。