安装好OpenSSL后可以使用以下命令生成crt证书和私匙:
#首先运行openssl执行文件,执行如下命令(linux使用yum 安装可以直接输入输入openssl运行)
#首先生成私钥:
genrsa -des3 -out /usr/local/clo_server.key 1024
#-out后面跟具体的路径和文件名,之后的数字为密码长度,执行后需要设置密码,并确认密码
#之后利用如下命令生成csr证书
req -new -key /usr/local/clo_server.key -out /usr/local/clo_ser.csr
#执行后需要验证上步中key的密码,之后需要填入国家,地区等信息,自定义生成的证书中这些不是很重要,
#重要的是common name,这个是证书需要绑定的域名或者ip地址,填上需要代理的服务器的域名,
#没有域名可以直接填ip
#第一步生成的key是有密码的,如果直接在nginx中使用,nginx启动的时候需要填密码,
#并且可能会报错,所以最好擦除key的密码,通过下面的命令执行:
rsa -in /usr/local/clo_server.key -out /usr/local/clo_ser.key
#之后生成在nginx中使用的crt证书
x509 -req -days 365 -in /usr/local/clo_ser.csr -signkey /usr/local/clo_ser.key -out /usr/local/clo_ser.crt
假设服务器已经安装好nginx,在nginx.conf中添加server,配置nginx反向代理和https:
server {
# nginx所监听的端口,访问该端口的请求会被转到代理服务器对应的ip和端口,
# 443是监听https的,在使用https访问的时候可以不带443端口,
# 而其他端口是需要带的,类似80端口
listen 8084 ssl;
# SSL 证书绑定的域名或者ip,之前生成证书时common name填的ip
# 之后使用https://192.168.31.181:8084访问时,会被转到proxy_pass,
# 从而隐藏了真实的服务器信息
server_name 192.168.31.181;
# 下面的key和crt证书是openssl生成的,放到了nginx的conf文件夹
ssl_certificate ssl.crt;
ssl_certificate_key ssl.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";
ssl_prefer_server_ciphers on;
#error_page 500 502 503 504 /50x.html;
location / {
proxy_pass http://192.168.31.181:8081/; # 需要转发到的服务地址
# 假设需要传递cookie
proxy_cookie_path pathA pathB;#设置cookie path的转换,如果需要的话
#pathA是目标服务器返回的path,pathB是需要转换的
# 如果没有设置cookie的domain则不需要下面的配置,否则需要配置
# A域名是目标服务器返回的set-cookie中domain,B域名是需要转换的domain
# 之后发给客户端,保证cookie的顺利写入,此时客户端cookie的domain是转换后的
proxy_cookie_domain A域名 B域名;
# 下面根据需要配置
# 做https跳转
proxy_redirect http:// $scheme://;
proxy_set_header Host $host;#保留代理之前的host
proxy_set_header X-Real-IP $remote_addr;#保留代理之前的真实客户端ip
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header HTTP_X_FORWARDED_FOR $remote_addr;#在多级代理的情况下,记录每次代理之前的客户端真实ip
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
之后重新启动nginx即可。
一个非常值得注意的问题:
记得要把nginx需要用到的端口在防火墙中放行,在Linux中要开放用到的端口,在防火墙中添加规则,重启防火墙,刷新规则;在windows中要注意杀毒软件是否限制了防火墙对端口的开放,可以先关闭杀毒软件测试。
如果没有开放nginx所需的端口,那么在访问https链接的时候会显示访问超时。