Nginx-HTTPS 配置
目录
一、搞懂http与https
二、购买域名
三、域名解析
四、申请 SSL 证书
五、把 SSL 证书上传到 nginx
1.下载 nginx 证书
2.上传文件
解决办法:
一、搞懂http与https
HTTP是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版本,HTTPS协议是利用SSL+HTTP协议建立安全信道,加密数据包,提供身份认证的网络协议,要比http协议安全。
HTTPS和HTTP的区别:
• http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
• http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
• 使用https协议需要申请证书,证书有收费和免费的。
现在网站几乎所有都开启了https协议,所以使用https已经是个趋势。
二、购买域名
这次咱们使用阿里的SSL证书和域名,这两个必须得同一家的才行,同理,如果你是华为的则域名和SSL证书都得在华为云上申请购买!
阿里云域名购买网站
三、域名解析
购买域名后,需要对域名进行解析阿里云域名解析
在cmd ping 一下 www.startsky.top 试试,如果前面填写的是公网ip,则可以直接ping通,否则得在Windows配置本地域名解析,添加服务器ip和域名:
修改 hosts 需要权限:
添加完 ip 和 域名后,再把文件权限修改回来,保证安全!!!
此时在cmd 测试:
四、申请 SSL 证书
申请流程可以查看我的这篇文章用nginx构建高效不限速的个人网盘(File Browser)
五、把 SSL 证书上传到 nginx
1.下载 nginx 证书
解压后得到下面两个文件:
2.上传文件
将证书上传到/usr/local/nginx/conf/ssl目录下并绑定到我们服务器的nginx配置上即可,在nginx上配置ssl证书,需要在nginx.conf中 http模块 新添加一个 server段,默认的 server 80端口不修改,内容如下:
[root@Euler nginx]# mkdir -p /usr/local/nginx/conf/ssl
[root@Euler nginx]# cd conf/ssl/
[root@Euler ssl]# ls
8132331_startsky.top.key 8132331_startsky.top.pem
[root@Euler ssl]# vim /usr/local/nginx/conf/nginx.conf
server
{
listen 443 ssl; # https 默认端口
server_name www.startsky.top; # 设置的域名
ssl_certificate ssl/8132331_startsky.top.pem; # 阿里云证书文件
ssl_certificate_key ssl/8132331_startsky.top.key; # 私钥文件
ssl_prefer_server_ciphers on; # 以下是加密算法和强度相关
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "HIGH:!aNULL:!MD5";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-Xss-Protection 1;
# 反向代理
location / {
proxy_pass http://192.168.78.138:8088;
proxy_set_header Host $proxy_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
reload一下nginx:
在360极速浏览器中输入 域名 www.startsky.top访问,会跳转到80端口nginx的默认页面,而不会跳转到443https页面,需要手动加上https才能访问到安全界面,就很麻烦。但谷歌浏览器直接输入 域名会立刻跳转到https安全界面。这就造成一个问题,并不是所有用户都使用谷歌浏览器访问。
解决办法:
方法一:可以把 server 443 ssl 模块放到 最前面,这样访问的时候会先匹配第一个server模块的内容,则会访问 443 端口。
方法二:做一个页面跳转,让http的访问跳转到https的访问,这样就无需调整 server模块顺序。
worker_processes auto;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
# 方法二,页面跳转
# server {
#
# listen 80;
# server_name www.startsky.top; # 填写自己的域名
# return 301 https://$server_name$request_uri;
# }
server {
listen 443 ssl;
server_name www.startsky.top; # 设置的域名
ssl_certificate ssl/8132331_startsky.top.pem; # 阿里云证书文件
ssl_certificate_key ssl/8132331_startsky.top.key; # 私钥文件
ssl_prefer_server_ciphers on; # 以下是加密算法和强度相关
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "HIGH:!aNULL:!MD5";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-Xss-Protection 1;
location / {
proxy_pass http://192.168.78.138:9000;
proxy_set_header Host $proxy_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
server {
listen 80;
server_name www.startsky.top;
return 301 https://$server_name$request_uri;
}
}
直接输入域名访问即可:
