nginx 配置 https

默认情况下ssl模块并未被安装，如果要使用该模块则需要在编译nginx时指定–with-http_ssl_module参数.

需求：
做一个网站域名为 www.localhost.cn 要求通过https://www.localhost.cn进行访问.

10.10.100.8 www.localhost.cn

实验步骤:

1.首先确保机器上安装了openssl和openssl-devel

1

2

#yum install openssl

#yum install openssl-devel

2.创建服务器私钥，命令会让你输入一个口令：

 

openssl genrsa -des3 -outserver.key 1024

                                              


#因为以后要给nginx使用。每次reload nginx配置时候都要你验证这个PAM密码的.由于生成时候必须输入密码,你可以输入后 再删掉。

3.创建签名请求的证书（CSR）：

1

openssl req -new-key server.key -out server.csr   //生成证书颁发机构,用于颁发公钥



Country Name： CN                                  //您所在国家的ISO标准代号，中国为CNState or Province Name：guandong                  //您单位所在地省/自治区/直辖市Locality Name：shenzhen                          //您单位所在地的市/县/区Organization Name： Tencent Technology (Shenzhen) Company Limited                 //您单位/机构/企业合法的名称 Organizational Unit Name： R&D         //部门名称 Common Name： www.example.com     //通用名，例如：www.itrus.com.cn。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。Email Address：                          //您的邮件地址，不必输入，直接回车跳过"extra"attributes                        //以下信息不必输入，回车跳过直到命令执行完毕。

4.在加载SSL支持的Nginx并使用上述私钥时除去必须的口令：

1

2

cp server.key server.key.org

openssl rsa -inserver.key.org -outserver.key      //除去密码以便reload询问时不需要密码

5.配置nginx
最后标记证书使用上述私钥和CSR：

1

openssl x509 -req -days 365 -inserver.csr -signkey server.key -outserver.crt

6.修改Nginx配置文件，让其包含新标记的证书和私钥：

1

2

3

4

5

#vim /usr/local/nginx/conf/nginx.conf

http {

 

        include server/*.cn;

}

7.修改Nginx配置文件，让其包含新标记的证书和私钥：

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

#vim /usr/local/nginx/server/www.localhost.cn

server {

        listen       443;                                                                      //监听端口为443

        server_name  www.localhost.cn;

  

        ssl                 on;        　　　　　　　　　　//开启ssl

        ssl_certificate      /etc/pki/tls/certs/server.crt;     //证书位置

        ssl_certificate_key  /etc/pki/tls/certs/server.key;     //私钥位置

        ssl_session_timeout  5m;

        ssl_protocols  SSLv2 SSLv3 TLSv1;       　　　　//指定密码为openssl支持的格式

        ssl_ciphers  HIGH:!aNULL:!MD5;             //密码加密方式

        ssl_prefer_server_ciphers  on;            //依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码

  

        location / {

            root   html;                       //根目录的相对位置

            index  index.html index.htm;

        }

    }

8.启动nginx服务器.

1

#/usr/local/nginx/sbin/nginx -s reload //如果环境允许的话直接杀掉进程在启动nginx

如果出现“[emerg] 10464#0: unknown directive "ssl" in /usr/local/nginx-0.6.32/conf/nginx.conf:74”则说明没有将ssl模块编译进nginx，在configure的时候加上“--with-http_ssl_module”即可

1

如:[root@localhost nginx-1.4.4]# ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_ssl_module

9.测试网站是否能够通过https访问

1

https://www.localhost.cn

另外还可以加入如下代码实现80端口重定向到443

1

2

3

4

5

6

server {

listen 80;

server_name www.localhost.cn;

#rewrite ^(.*) https://$server_name$1 permanent;

rewrite ^(.*)$  https://$host$1 permanent;

}

过以下配置，可以设置一个虚拟主机同时支持HTTP和HTTPS

1

2

listen 80;

listen 443 default ssl;

同时支持80和443同时访问配置:

1

2

3

4

5

6

7

8

9

10

11

12

server {

    listen      80defaultbacklog=2048;

    listen      443 ssl;

    server_name  www.localhost.com;

    

    #ssl on;  //注释掉

    ssl_certificate   /usr/local/https/www.localhost.com.crt;

    ssl_certificate_key  /usr/local/https/www.localhost.com.key;

    ssl_session_timeout 5m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

    ssl_prefer_server_cipherson;

Nginx 设置忽略favicon.ico文件的404错误日志(关闭favicon.ico不存在时记录日志)

如果 报错 ssl  in 。。。。 缺少ssl模块

（1）找到安装nginx的源码根目录，如果没有的话下载新的源码。
注：nginx的安装目录和配置文件的目录不是一个目录，千万不要弄错，我一般将安装文件都放在opt文件夹下。
安装nginx参考文章：linux nginx安装以及配置
（2）查看ngixn版本极其编译参数

/usr/local/nginx/sbin/nginx -V

为什么是这个路劲呢，因为我们配置编译的nginx就是这个路径，nginx在sbin目录下启动、关闭。
在configure arguments:后面显示的原有的configure参数如下：

--prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-file-aio --with-http_realip_module

（3）进入nginx安装目录
进入的是我们解压nginx的目录

cd /opt/nginx-1.11.6

（4）执行重新编译的代码和模块
我们安装完nginx并执行ssl需要第三方的模块，否则我们会修改nginx.conf配置文件监听443端口就会出现缺少ssl模块的错误。

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-file-aio --with-http_realip_module

./configure –prefix=nginx安装路径 –with-模块
这里注意一个小细节，就是- -后的空格，千万要空出来，要不然编译模块会出错。

（5）make编译
make 千万别make install，否则就覆盖安装了

make

make完之后在objs目录下就多了个nginx，这个就是新版本的程序了。

（6）备份原有的nginx文件（备份是一个良好的习惯，再修改配置文件的时候最好都要备份一下）

cp /usr/local/nginx/sbin/nginx/usr/local/nginx/sbin/nginx.bak

这里备份的也是我们nginx配置文件的，不是安装文件的，要注意下。
（7）将新生成的nginx程序覆盖原有的nginx（这个时候nginx要停止状态）

cp objs/nginx /usr/local/nginx/sbin/nginx

（8）测试新的nginx程序是否正确

/usr/local/nginx/sbin/nginx -t

如果显示如下说明成功，否则失败

nginx: theconfiguration file /usr/local/nginx/conf/nginx.conf syntax is oknginx:configuration file /usr/local/nginx/conf/nginx.conf test issuccessful

（9）启动nginx，可以通过命令查看是否已经加入成功

#启动nginx(进入sbin目录启动)cd /usr/local/nginx/sbin./nginx#查看/usr/local/nginx/sbin/nginx -V　

如果你的configure arguments:后面是空，说明编译失败，你需要检查编译的代码是否写对，地址是否正确，每个模块前都有空格。
注：我再配置过程中也失败过很多次，首先你要检查你的nginx再配置过程中是否关闭，在检查你编译的模块是否成功，这个地方很重要，影响整合nginx的执行，最后查看你nginx是否覆盖成功。如果失败就从第二步从头开始