配置ssl證書之前,先准備SSL證書,至於獲取的途徑很多(阿里雲的服務,第三方服務購買)。這里不詳細解釋。以下是我的SSL證書
准備好證書后,找到nginx的安裝目錄,我的安裝位置為:/usr/local/nginx
進入 config/nginx.conf
如果沒有裝winscp(一款可視化文件操作工具)的。可以通過命令行的方式,編輯nginx的config文件。
開始配置文件的修改
在修改配置文件之前,最好做一個備份,防止修改錯誤,也能及時回退錯誤
1、找到第一個監聽80端口的server:一下是我修改好的server
server {
listen 80;
server_name 需要訪問的域名;
rewrite ^(.*) https://$server_name$1 permanent; #這句是代表 把http的域名請求轉成https
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
proxy_pass http://需要訪問的域名; #因為這里還是80端口,所以保持http就可以了
}
}
在實際的配置文件中,最好把我上面的備注刪除
2、第一個server修改好了之后。那么就需要開始配置第二個server。拉到文件的底部。看到有一個https類型的server。而且已經全部被注釋封上了,這是我們需要改的第二個server,如圖:
這里除了HTTPS server這行之外,其他的 # 刪除,啟動https模塊
# HTTPS server
#
server {
listen 443 ssl;
server_name 需要訪問的域名,這里也不用加https;
ssl on;
ssl_certificate /usr/local/nginx/ssl/ssl.pem; #這里是ssl key文件存放的絕對路徑,根據自己的文件名稱和路徑來寫
ssl_certificate_key /usr/local/nginx/ssl/ssl.key; #這里是ssl key文件存放的絕對路徑,根據自己的文件名稱和路徑來寫
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://需要訪問的域名:8080/;
}
}
配置好后,nginx的配置就算是完成了。不過這只是配置ssl證書的第一步!
接下來就是要讓配置文件生效:
1、進去nginx的sbin文件夾,我的sbin文件夾在:/usr/local/nginx/sbin
執行以下語句:檢驗配置文件是否有錯誤
./nginx -t
如果nginx曾經安裝過SSL模塊,那么應該會顯示以下界面:(如果已經顯示配置成功,那么可以跳過這一步,直接重啟nginx就可以了)
可是大多數第一次安裝https證書,都會報錯,說缺少SSL模塊,如下:
2、這時候我們就可以先安裝SSL模塊:
先確認2個位置:
1)我的nginx是安裝在了/usr/local/nginx/下
2)我的nginx的源碼包放在了/usr/local/nginx/nginx/nginx-1.8.0下。如果沒有的話,重新下載你對應的nginx版本的源碼包,找個目錄解壓
3、目錄切換到我們的源碼包安裝位置:
cd /usr/local/nginx/nginx/nginx-1.8.0
4、執行語句,重新安裝ssl模塊:
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
這時候可能又會有點小插曲,啟動ssl模塊的時候,報錯了:
看到了error。就知道linux安裝失敗,停止了。這個錯誤是因為我們沒有安裝openssl openssl-devel(如果這一步沒有報錯的話,可以跳過下面的安裝openssl-devel的步驟)
5、那么可以先執行安裝openssl openssl-devel語句:
yum -y install openssl openssl-devel
安裝上了 openssl-devel后,重新執行:./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
6、這時候應該就執行配置成功了。配置成功后,那么就需要編譯我們的配置。(注意這里只能用make 而不要用make install,因為執行make install是覆蓋安裝的意思)
運行:
make
等待執行完成后,我們需要把新編譯的nginx模塊替換原來的nginx。
7、還是老規矩,先備份舊的nginx,執行語句(這里面復制的文件的路徑需要根據你們安裝的目錄自行修改,如果和我安裝的路徑是一樣的那么可以直接運行該語句):
cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
1
8、關閉nginx(因為要把新的模塊覆蓋舊的nginx)
先找到nginx端口號,如圖,目前我nginx的進程號為:13542
ps -ef|grep nginx
殺死該進程就可以了,執行語句:
kill -QUIT 13542
9、關閉nginx進程后就可以開始替換了(注意:我當前的位置是在我nginx的源碼包中,目錄不要搞錯了)
執行:(復制到我的nginx的目錄中)
cp ./objs/nginx /usr/local/nginx/sbin/
然后就是啟動nginx。在啟動之前,也可以在測試一次配置文件是否已經生效:
#先切換到sbin目錄
cd /usr/local/nginx/sbin/
#檢測nginx的配置文件是否有錯誤
./niginx -t
看到這樣的,就是已經成功了
最后啟動nginx:
/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
因為剛才替換nginx模塊的時候是把nginx進程都殺死了,所以要用上面的命令進行啟動,而不能使用reload重啟。
nginx正常啟動后,我們在訪問我們的網站,發現https就已經配置好了:
小拓展:
剛才配置nginx的時候是直接在配置文件上做修改,其實我們可以把小的配置抽離出去,盡量保持原配置文件不被修改
我們可以在原有配置文件中,加上這句(注意作用域范圍,是引入到http的{}之內):
include vhost/*.conf;
接下來,需要找到對應的配置文件,因為我們這里的路徑是直接 vhost。所以在配置文件同級目錄,新建一個 vhost 文件夾,而且我們引入的是 *.conf 。意思就是引入vhost中所有后綴是.conf的配置文件:
在配置文件中,加上我們剛才教程提到的配置:
server {
listen 80;
server_name 需要訪問的域名(不加http頭);
rewrite ^(.*) https://$server_name$1 permanent;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
proxy_pass http://需要訪問的域名
}
}
# HTTPS server
#
server {
listen 443 ssl;
server_name 需要訪問的域名;
ssl on;
ssl_certificate /usr/local/nginx/ssl/ssl.pem;
ssl_certificate_key /usr/local/nginx/ssl/ssl.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://需要訪問的域名:8080/;
}
}
保存后,也是使用nginx -t測試配置文件是否成功,成功后重啟nginx即可。
如果有多個二級域名,那么就復制多份 xx.conf文件即可,配置文件會自動引入到nginx的配置中,不過每次新增配置文件都需要檢測一遍,然后重啟nginx