nginx实现https网站设置（OpenSSL制作SSL证书生成配置）-JreCms

<div style="margin: 0px; padding: 0px; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 13px; white-space: normal; background-color: rgb(254, 254, 242);"><div style="margin: 0px; padding: 0px;"><div id="nstext" style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑; font-size: large;"><strong style="margin: 0px; padding: 0px;">一、HTTPS简介</strong></span></div><div style="margin: 0px; padding: 0px;"><blockquote dir="ltr" style="margin: 10px 0px; padding: 10px 0px 5px; background: none; border-top: none; border-right: none; border-bottom: none; border-left: 3px solid rgb(226, 223, 223); border-image: initial; color: rgb(51, 51, 51); min-height: 35px; line-height: 1.6em;"><div class="quote_div" style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑;">1.https简介</span></div><div class="quote_div" style="margin: 0px; padding: 0px;">HTTPS其实是有两部分组成：HTTP + SSL / TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据</div><div class="quote_div" style="margin: 0px; padding: 0px;">2.https协议原理</div><div class="quote_div" style="margin: 0px; padding: 0px;">首先，客户端与服务器建立连接，各自生成私钥和公钥，是不同的。服务器返给客户端一个公钥，然后客户端拿着这个公钥把要搜索的东西加密，称之为密文，并连并自己的公钥一起返回给服务器，服务器拿着自己的私钥解密密文，然后把响应到的数据用客户端的公钥加密，返回给客户端，客户端拿着自己的私钥解密密文，把数据呈现出来</div></blockquote></div><div style="margin: 0px; padding: 0px;"><div style="margin: 0px; padding: 0px;"><p style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑; font-size: large;"><strong style="margin: 0px; padding: 0px;">二、证书和私钥的生成</strong></span></p><p style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑; font-size: large;"><strong style="margin: 0px; padding: 0px;"><br/></strong></span></p><p style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑; font-size: large;"><strong style="margin: 0px; padding: 0px;">openssl 下载地址:</strong></span></p><p style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑; font-size: large;"><strong style="margin: 0px; padding: 0px;"></strong></span></p><p>链接：https://pan.baidu.com/s/1kaT9AC50YGrRIjU66Sd_NQ </p><p>提取码：ddo8 </p><p><br/></p><p style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑; font-size: large;"><strong style="margin: 0px; padding: 0px;"><br/></strong></span><br/></p><div style="margin: 0px; padding: 0px;"><blockquote dir="ltr" style="margin: 10px 0px; padding: 10px 0px 5px; background: none; border-top: none; border-right: none; border-bottom: none; border-left: 3px solid rgb(226, 223, 223); border-image: initial; color: rgb(51, 51, 51); min-height: 35px; line-height: 1.6em;"><div class="quote_div" style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑;">注意：一般生成的目录,应该放在nginx/conf/ssl目录</span></div><div class="quote_div" style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑;">1.创建服务器证书密钥文件 server.key：</span></div><div style="margin: 0px; padding: 0px;">openssl genrsa -des3 -out server.key 1024</div><div class="quote_div" style="margin: 0px; padding: 0px;">输入密码，确认密码，自己随便定义，但是要记住，后面会用到。</div><div class="quote_div" style="margin: 0px; padding: 0px;">2.创建服务器证书的申请文件 server.csr</div><div class="quote_div" style="margin: 0px; padding: 0px;">openssl req -new -key server.key -out server.csr</div><div class="quote_div" style="margin: 0px; padding: 0px;">输出内容为：<br style="margin: 0px; padding: 0px;"/>Enter pass phrase for root.key: ← 输入前面创建的密码<br style="margin: 0px; padding: 0px;"/>Country Name (2 letter code) [AU]:CN ← 国家代号，中国输入CN<br style="margin: 0px; padding: 0px;"/>State or Province Name (full name) [Some-State]:BeiJing ← 省的全名，拼音 可以不输入<br style="margin: 0px; padding: 0px;"/>Locality Name (eg, city) []:BeiJing ← 市的全名，拼音 可以不输入<br style="margin: 0px; padding: 0px;"/>Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名 可以不输入<br style="margin: 0px; padding: 0px;"/>Organizational Unit Name (eg, section) []: ← 可以不输入<br style="margin: 0px; padding: 0px;"/>Common Name (eg, YOUR name) []: ← ip访问输入ip即可，域名访问必须输入域名才行<br style="margin: 0px; padding: 0px;"/>Email Address []:admin@mycompany.com ← 电子邮箱，可随意填 可以不输入<br style="margin: 0px; padding: 0px;"/>Please enter the following ‘extra’ attributes<br style="margin: 0px; padding: 0px;"/>to be sent with your certificate request<br style="margin: 0px; padding: 0px;"/>A challenge password []: ← 可以不输入<br style="margin: 0px; padding: 0px;"/>An optional company name []: ← 可以不输入</div><div class="quote_div" style="margin: 0px; padding: 0px;">4.备份一份服务器密钥文件</div><div class="quote_div" style="margin: 0px; padding: 0px;">cp server.key server.key.org</div><div class="quote_div" style="margin: 0px; padding: 0px;">5.去除文件口令</div><div class="quote_div" style="margin: 0px; padding: 0px;">openssl rsa -in server.key.org -out server.key</div><div class="quote_div" style="margin: 0px; padding: 0px;">6.生成证书文件server.crt</div><div class="quote_div" style="margin: 0px; padding: 0px;">openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt</div></blockquote></div></div> <div style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑; font-size: large;"><strong style="margin: 0px; padding: 0px;">    三、配置文件</strong></span></div><div style="margin: 0px; padding: 0px;"><blockquote dir="ltr" style="margin: 10px 0px; padding: 10px 0px 5px; background: none; border-top: none; border-right: none; border-bottom: none; border-left: 3px solid rgb(226, 223, 223); border-image: initial; color: rgb(51, 51, 51); min-height: 35px; line-height: 1.6em;"><p class="quote_div" style="margin: 10px auto; padding: 0px; line-height: 1.5; color: rgb(0, 0, 0);"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑;">1.下面为配置文件 /usr/local/nginx/conf/vhost/daj.conf</span></p><p class="quote_div" style="margin: 10px auto; padding: 0px; line-height: 1.5; color: rgb(0, 0, 0);">server{<br style="margin: 0px; padding: 0px;"/>#比起默认的80 使用了443 默认 是ssl方式  多出default之后的ssl<br style="margin: 0px; padding: 0px;"/>        listen 443 default ssl;<br style="margin: 0px; padding: 0px;"/>#default 可省略<br style="margin: 0px; padding: 0px;"/>#开启  如果把ssl on；这行去掉，ssl写在443端口后面。这样http和https的链接都可以用<br style="margin: 0px; padding: 0px;"/>        ssl on;<br style="margin: 0px; padding: 0px;"/>#证书(公钥.发送到客户端的)<br style="margin: 0px; padding: 0px;"/>        ssl_certificate ssl/server.crt;<br style="margin: 0px; padding: 0px;"/>#私钥,<br style="margin: 0px; padding: 0px;"/>        ssl_certificate_key ssl/server.key;<br style="margin: 0px; padding: 0px;"/>#下面是绑定域名<br style="margin: 0px; padding: 0px;"/>        server_name <a href="http://www.daj.com/" rel="noopener" style="margin: 0px; padding: 0px; color: rgb(7, 93, 179);">www.daj.com</a>;<br style="margin: 0px; padding: 0px;"/>        location / {<br style="margin: 0px; padding: 0px;"/>#禁止跳转<br style="margin: 0px; padding: 0px;"/>        proxy_redirect off;<br style="margin: 0px; padding: 0px;"/>#代理淘宝<br style="margin: 0px; padding: 0px;"/>proxy_pass <a href="https://www.tao.com/" rel="noopener" style="margin: 0px; padding: 0px; color: rgb(7, 93, 179);">https://www.tao.com/</a>;  <br style="margin: 0px; padding: 0px;"/>        } </p><p class="p1" style="margin: 10px auto; padding: 0px; line-height: 1.5; color: rgb(0, 0, 0);"><span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;"><span style="margin: 0px; padding: 0px; line-height: 1.5; color: rgb(255, 0, 0);">#如果上面配置完成后可以正常访问不需要配置下面这些</span><br style="margin: 0px; padding: 0px;"/></span><span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">location / {</span></p><p class="p1" style="margin: 10px auto; padding: 0px; line-height: 1.5; color: rgb(0, 0, 0);"><span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">#代理转发到本地9501端口<br style="margin: 0px; padding: 0px;"/></span><span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;"><span class="Apple-converted-space" style="margin: 0px; padding: 0px; line-height: 1.5;">proxy_pass <span class="Apple-converted-space" style="margin: 0px; padding: 0px; line-height: 1.5;">      http://localhost:9501;</span></span></span></p><p class="p1" style="margin: 10px auto; padding: 0px; line-height: 1.5; color: rgb(0, 0, 0);"><span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">#重定义发往后端服务器的请求头。</span>当后端<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">web服务器存在多个虚拟主机时，该模块是用来区分前端请求，是给反向代理的后端的哪个虚拟主机。这个设置的作用是爸原<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">http请求中的<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">Header中的<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">Host也放到转发的请求里，如果不加的话服务器没法区分</span></span></span></span></p><p class="p1" style="margin: 10px auto; padding: 0px; line-height: 1.5; color: rgb(0, 0, 0);"><span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;"><span class="Apple-converted-space" style="margin: 0px; padding: 0px; line-height: 1.5;">proxy_set_header Host<span class="Apple-converted-space" style="margin: 0px; padding: 0px; line-height: 1.5;">      $host;</span></span></span></p><p class="p1" style="margin: 10px auto; padding: 0px; line-height: 1.5; color: rgb(0, 0, 0);"><span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">#</span>经过反向代理后，由于在客户端和<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">web服务器之间增加了中间层，因此<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">web服务器无法直接拿到客户端的<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">ip,通过<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">$remote_addr变量拿到的将是反向代理服务器的<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">ip地址<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">,但是<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">nginx是可以获得用户的真实<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">ip的，可以设置一下，其中这个<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">X-Real-IP是一个自定义的变量名，名字可以随意取，这样做完之后，用户的真实<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">ip就被放在<span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">X-Real-IP这个变量里了</span></span></span></span></span></span></span></span></span></span></span></p><p class="p1" style="margin: 10px auto; padding: 0px; line-height: 1.5; color: rgb(0, 0, 0);"><span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">proxy_set_header X-Real-IP $remote_addr;</span></p><p class="p1" style="margin: 10px auto; padding: 0px; line-height: 1.5; color: rgb(0, 0, 0);"><span class="s1" style="margin: 0px; padding: 0px; line-height: 1.5;">    }</span></p><p class="quote_div" style="margin: 10px auto; padding: 0px; line-height: 1.5; color: rgb(0, 0, 0);">      <br style="margin: 0px; padding: 0px;"/>}</p></blockquote></div></div></div></div><div id="nstext" style="margin: 0px; padding: 0px; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 13px; white-space: normal; background-color: rgb(254, 254, 242);"><span style="margin: 0px; padding: 0px; line-height: 1.5; color: rgb(255, 0, 0);"> 注意：在nginx的配置文件中，如果当前模块中没有proxy_set_header的设置，则会从上级别继承配置。继承顺序为：http, server, location</span></div><p> </p><div style="margin: 0px; padding: 0px; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 13px; white-space: normal; background-color: rgb(254, 254, 242);"><div id="nstext" style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑; font-size: large;"><strong style="margin: 0px; padding: 0px;">四、开启nginx的ssl模块</strong></span></div><div style="margin: 0px; padding: 0px;"><blockquote dir="ltr" style="margin: 10px 0px; padding: 10px 0px 5px; background: none; border-top: none; border-right: none; border-bottom: none; border-left: 3px solid rgb(226, 223, 223); border-image: initial; color: rgb(51, 51, 51); min-height: 35px; line-height: 1.6em;"><div class="quote_div" style="margin: 0px; padding: 0px;"><span style="margin: 0px; padding: 0px; line-height: 1.5; font-family: 微软雅黑;">1.the "ssl" parameter requires ngx_http_ssl_module  in /usr/local/nginx/conf/nginx.conf:37<br style="margin: 0px; padding: 0px;"/></span></div><div class="quote_div" style="margin: 0px; padding: 0px;">原因是nginx缺少http_ssl_module模块，编译安装时带上--with-http_ssl_module配置就可以了</div><div class="quote_div" style="margin: 0px; padding: 0px;">2.如果已经安装过nginx,想要添加模块看下面</div><div class="quote_div" style="margin: 0px; padding: 0px;">1)切换到nginx源码包</div><div class="quote_div" style="margin: 0px; padding: 0px;">cd /usr/local/src/nginx-1.11.3</div><div class="quote_div" style="margin: 0px; padding: 0px;">2)查看ngixn原有的模块</div><div class="quote_div" style="margin: 0px; padding: 0px;">/usr/local/nginx/sbin/nginx -V</div><div class="quote_div" style="margin: 0px; padding: 0px;">3)重新配置</div><div class="quote_div" style="margin: 0px; padding: 0px;">./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module</div><div class="quote_div" style="margin: 0px; padding: 0px;">4)重新编译，不需要make  install安装。否则会覆盖</div><div class="quote_div" style="margin: 0px; padding: 0px;">make</div><div class="quote_div" style="margin: 0px; padding: 0px;">5)备份原有已经安装好的nginx</div><div class="quote_div" style="margin: 0px; padding: 0px;">cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak</div><div class="quote_div" style="margin: 0px; padding: 0px;">6)将刚刚编译好的nginx覆盖掉原来的nginx(ngixn必须停止)</div><div class="quote_div" style="margin: 0px; padding: 0px;">cp ./objs/nginx /usr/local/nginx/sbin/ </div><div class="quote_div" style="margin: 0px; padding: 0px;">这时，会提示是否覆盖，请输入yes，直接回车默认不覆盖</div><div class="quote_div" style="margin: 0px; padding: 0px;">7)启动nginx，查看nginx模块，发现已经添加</div><div class="quote_div" style="margin: 0px; padding: 0px;">/usr/local/nginx/sbin/nginx -V　</div></blockquote></div></div><p><br/></p>

网站模板

您现在的位置：网站首页 > 服务器教程 >

nginx实现https网站设置（OpenSSL制作SSL证书生成配置）

相关阅读

网站模板

您现在的位置： 网站首页 > 服务器教程 >

nginx实现https网站设置（OpenSSL制作SSL证书生成配置）

相关阅读

您现在的位置：网站首页 > 服务器教程 >