Nginx上安裝SSL證書

准備

參考 ：鏈接

下載的Nginx證書壓縮文件解壓后包含：

• .pem：證書文件。PEM文件的擴展名為CRT格式。
• .key：證書密鑰文件。申請證書時如果未選擇自動創建CRS，則下載的證書文件壓縮包中不會包含.key文件，需要您自己手動創建證書密鑰文件。

說明： .pem證書文件是采用Base64編碼的文本文件，您可根據需要修改成其他擴展名

操作步驟

1、使用遠程登錄工具（如PuTTY或者Xshell）登錄您的Nginx服務器，在Nginx安裝目錄（Nginx默認安裝目錄為 /etc/nginx/）執行以下命令創建cert目錄

cd /etc/nginx  #進入Nginx默認安裝目錄。此處為Nginx默認安裝目錄，請您根據實際配置情況操作。
mkdir cert  #創建cert證書目錄。

2、使用遠程登錄工具（如PuTTY或者Xshell）附帶的本地文件上傳功能，將下載的證書文件和密鑰文件上傳到Nginx服務器的cert目錄下。

3、執行以下命令打開Nginx安裝目錄nginx.conf配置文件並進行編輯

vim /etc/nginx/nginx.conf #打開配置文件。此處為Nginx默認配置文件目錄，請您根據實際配置情況操作。

按i鍵進入編輯模式，在配置文件中找到HTTP協議代碼片段，在HTTP協議代碼里面新增以下server配置示例。如果server配置已存在，按照以下注釋內容修改相應的配置即可：

#以下屬性中以ssl開頭的屬性代表與證書配置有關，其他屬性請根據自己的需要進行配置。
server {
         listen 443; #配置HTTPS的默認訪問端口號為443。此處如果未配置HTTPS的默認訪問端口，可能會造成Nginx無法啟動。Nginx 1.15.0以上版本請使用listen 443 ssl代替listen 443和ssl on。
         server_name www.certificatestests.com; #將www.certificatestests.com修改為您證書綁定的域名，例如：www.example.com。如果您購買的是通配符域名證書，要修改為通配符域名，例如：*.aliyun.com。
         root html;
         index index.html index.htm;
         ssl_certificate cert/domain name.pem;  #將domain name.pem替換成您證書的文件名稱。
         ssl_certificate_key cert/domain name.key; #將domain name.key替換成您證書的密鑰文件名稱。
         ssl_session_timeout 5m;
         ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #使用此加密套件。
         ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #使用該協議進行配置。
         ssl_prefer_server_ciphers on;
         location / {
         root html;  #站點目錄。
         index index.html index.htm;
                    }
      }

配置文件修改完畢之后，按Esc鍵后輸入:wq！，然后按Enter鍵保存修改的配置文件並退出編輯模式。

4、執行以下命令進入Nginx服務器的可執行目錄sbin並重啟Nginx服務器

systemctl restart nginx

說明：

• 如果重啟Nginx服務器出現報錯the "ssl" parameter requires ngx_http_ssl_module，您需要重新編譯Nginx並在編譯安裝的時候加上--with-http_ssl_module配置。
• 如果重啟Nginx服務器出現報錯"/cert/3970497_pic.certificatestests.com.pem":BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/cert/3970497_pic.certificatestests.com.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)，您需要去掉證書相對路徑最前面的/。例如，您需要去掉/cert/3970497_pic.certificatestests.com.pem最前面的/，使用正確的相對路徑cert/3970497_pic.certificatestests.com.pem。

5、設置HTTP請求自動跳轉HTTPS　　

 在需要跳轉的HTTP站點下添加以下rewrite語句，實現HTTP訪問自動跳轉到HTTPS頁面

server {
 listen 443;
 server_name www.certificatestests.com; #將www.certificatestests.com修改為您證書綁定的域名，例如：www.example.com。
rewrite ^(.*)$ https://$host$1 permanent;   #將所有HTTP請求通過rewrite重定向到HTTPS。
 location / {
index index.html index.htm;
}
}

6、測試

輸入域名測試　　

更新版

server {
        listen       443 ssl http2;
        listen       [::]:443 ssl http2;
        server_name  www.blogpam.cn;
        ssl_certificate  /usr/local/include/cert/1_blogpam.cn_bundle.crt;
        ssl_certificate_key /usr/local/include/cert/2_blogpam.cn.key;
        ssl_session_timeout 5m;
        #請按照以下協議配置
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
        #請按照以下套件配置，配置加密套件，寫法遵循 openssl 標准。
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
        ssl_prefer_server_ciphers on;
        location / {
        #網站主頁路徑。此路徑僅供參考，具體請您按照實際目錄操作。
            proxy_pass http://82.157.21.225:8080;
       }
}