目录
前言
1. 申请ssl证书
2. 安装ssl模块
3. 配置Nginx
4. 防火墙的坑
前言
网站域名申请下来后,可以配置ssl证书,使得网站支持https的访问。
以下为ssl模块的配置全过程。
1. 申请ssl证书
(1)登录云服务商的系统,直接申请SSL证书;服务器类型要选择Nginx的;
(2)证书申请到后,一共有四个文件。以baidu.com为例,则四个文件名字为:
- baidu.com_bundle.crt 证书文件
- baidu.com_bundle.pem 证书文件(可忽略该文件)
- baidu.com.key 私钥文件
- baidu.com.csr CSR 文件
(3)把baidu.com_bundle.crt 证书文件和baidu.com.key 私钥文件拷贝到Nginx的conf目录。
以默认Nginx安装目为例,把上面两个文件拷贝进去目录:/usr/local/nginx/conf/
2. 安装ssl模块
(1)检查是否已经安装了ssl模块,使用命令行:/usr/local/nginx/sbin/nginx -V,是大写的V。
看configure arguments模块,如果有--with-http_ssl_module,则说明已经安装成功了(如下图)。否则需要进行安装ssl模块。
[root@VM-24-9-centos wp-content]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.21.4
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)
built with OpenSSL 1.0.2k-fips 26 Jan 2017
TLS SNI support enabled
configure arguments: --with-http_ssl_module
(2)回到之前下载Nginx的目录,进行
./configure --prefix=/usr/local/nginx --with-http_ssl_module
(3)执行make命令,千万不要执行make install。因为make是用来编译的,而make install是安装,会覆盖你已经安装过的Nginx。
make
(4)把新的Nginx拷贝过去,把原来的进行覆盖即可
cp objs/nginx /usr/local/nginx/sbin/nginx
(5)重启Nginx,即可看到已配置ssl模块
nginx -s reload # 重启nginx
/usr/local/nginx/sbin/nginx -V
3. 配置Nginx
(1)打开配置文件
vim /usr/local/nginx/conf/nginx.conf
(2)添加ssl配置,主要有几个修改地方:server_name,ssl_certificate,ssl_certificate_key,root。继续以上述的baidu.com为例子。
如果是php网站,一定要加入底部的php解析。
server {
#SSL 访问端口号为 443
listen 443 ssl;
#填写绑定证书的域名
server_name baidu.com;
#证书文件名称
ssl_certificate baidu.com_bundle.crt;
#私钥文件名称
ssl_certificate_key baidu.com.key;
ssl_session_timeout 5m;
#请按照以下协议配置
ssl_protocols TLSv1.2 TLSv1.3;
#请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
location / {
#网站主页路径。此路径仅供参考,具体请您按照实际目录操作。
#例如,您的网站运行目录在/etc/www下,则填写/etc/www。
root /home/baidu;
index index.php index.html index.htm;
}
# php网站需要加入以下配置
location ~ \.php$ {
root /home/baidu;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
4. 防火墙的坑
(1)检查云厂商的443端口是否开放,这个很重要,否则访问不了网站,直接报错。
(2)检查服务器防火前443的端口
[root@VM-24-9-centos usr]# firewall-cmd --zone=public --list-ports
20/tcp 21/tcp 22/tcp 80/tcp 8888/tcp 39000-40000/tcp 443/tcp
如果没有看到443/tcp,就需要添加该端口
firewall-cmd --zone=public --add-port=443/tcp --permanent
添加完毕后,关闭防火墙再打开,就生效了
systemctl stop firewalld
systemctl start firewalld