简介
nginx配置ssl很简单,首先需要两个文件,一个是crt文件,另一个是key文件,如下所示:
xxx.crt; #(证书公钥)
xxx.key; #(证书私钥)
生成秘钥
1.生成秘钥key
openssl genrsa -des3 -out server.key 2048
然后你就获得了一个server.key文件.
以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令:
openssl rsa -in server.key -out server.key
2.服务器证书的申请文件server.csr
openssl req -new -key server.key -out server.csr
其中Country Name填CN,Common Name填主机名也可以不填,如果不填浏览器会认为不安全.(例如你以后的url为https://abcd/xxxx….这里就可以填abcd),其他的都可以不填.
3.创建CA证书
openssl req -new -x509 -key server.key -out ca.crt -days 3650
4.创建自当前日期起有效期为期十年的服务器证书server.crt
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
5.查看生成的文件
[root@bj-esbp-mid1 ~]# ls
anaconda-ks.cfg ca.crt ca.srl install.log install.log.syslog server.crt server.csr server.key
ls你的文件夹,可以看到一共生成了5个文件:
ca.crt ca.srl server.crt server.csr server.key
其中,server.crt和server.key就是你的nginx需要的证书文件.
nginx配置
1.set http rewrite to https:
server {
listen 80;
server_name 10.0.1.101;
rewrite ^ https://$http_host$request_uri? permanent; # force redirect http to https
# 或者 rewrite ^(.*) https://$server_name$1 permanent;
2.set https config:
# HTTPS server
#
server{
listen 443 ssl;
server_name 10.0.1.101;
ssl on;
ssl_certificate /usr/local/nginx/conf/bjesserver.crt;#配置证书位置
ssl_certificate_key /usr/local/nginx/conf/bjesserver.key;#配置秘钥位置
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html; # 此处填绝对路径
index index.html index.htm;
}
}
3.测试配置文件是否正确
/alidata/server/nginx/sbin/nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
4.重启nginx
/alidata/server/nginx/sbin/nginx -s reload
5.打开浏览器访问
