欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

nginx安装https证书

程序员文章站 2022-05-01 07:55:47
...

前提: 安装https前提下,必须要安装了nginx,没安装的看我上一篇博客 Centos7安装并配置nginx

1. https证书

这里我推荐两种方式
(1). 阿里云免费申请(有效期一年)
(2). acme.sh 脚本生成 (有效期三个月) (这也是我这里要用到的)

如果你用的是阿里云的证书,将证书的两个文件放到指定目录下,然后看nginx配置就行
\color{red}{这两种生成的证书是有差距的,具体什么差距,就去问度娘吧},在不仅仅是追求“\color{red}{能用}”为主的情况下,还是根据自身情况来定,选择哪种证书

2. 安装acme

安装脚本

curl  https://get.acme.sh | sh

nginx安装https证书
这里安装报错了,因为系统缺少 acme.sh 所需要的依赖项,acme.sh 的依赖项主要是 socat,我们通过下面这个命令来安装这些依赖项,\color{red}{然后重新执行安装脚本}

Centos5以上

yum -q -y install  openssl  crontabs  socat  curl

Ubuntu/Debian

apt-get install openssl cron  socat curl

alpine

apk --no-cache add -f openssl curl socat 

kalilinux

apt-get -qqy install  openssl cron  socat  curl

这里看到没有报错
nginx安装https证书

3.生成证书

这里要注意下生成的时候,他会暂时占用80端口,请确保nginx已经关闭,并且没有其他进程占用80端口
先去把nginx关闭

# 进入nginx安装目录
cd /usr/local/nginx/sbin/
# nginx停止命令
./nginx -s stop

生成https证书命令,acme.sh/root\color{red}{注意安装acme.sh的位置,我的是在/root目录下}

/root/.acme.sh/acme.sh --issue -d 替换成你的域名 --standalone --keylength ec-256 --force

nginx安装https证书

证书更新

由于 Let’s Encrypt 的证书有效期只有 3 个月,因此需要 90 天至少要更新一次证书,acme.sh 脚本会每 60 天自动更新证书。也可以手动更新。
手动更新证书,执行:acme.sh/root\color{red}{还是注意安装acme.sh的位置,我的是在/root目录下}

/root/.acme.sh/acme.sh --renew -d mydomain.com --force --ecc

安装证书和**

# 新建文件夹用来存储证书
mkdir  /etc/https/
# 将证书安装到新建的文件夹
/root/.acme.sh/acme.sh --installcert -d 你的域名地址 --ecc \
                          --fullchain-file /etc/https/你的域名地址.crt \
                          --key-file /etc/https/你的域名地址.key

nginx安装https证书
到此为止,证书就有了
接下来配置nginx

4. nginx配置

user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;
    # 端口转发  80端口强制跳转443
    server{
      listen 80;
      server_name  你的域名;
      index  index.php index.html index.htm;
      location / {
        proxy_redirect off;
        proxy_pass  http://127.0.0.1:443; # 转发规则
        proxy_set_header Host $proxy_host; # 修改转发请求头,让8080端口的应用可以受到真实的请求
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      }
    }
    server {
      listen  443 ssl;
      ssl_certificate       /etc/https/你的域名.crt;
      ssl_certificate_key   /etc/https/你的域名.key;
      ssl_protocols         TLSv1 TLSv1.1 TLSv1.2;
      ssl_ciphers           HIGH:!aNULL:!MD5;
      server_name           你的域名;
      location / { 
            root   html; #站点目录,绝对路径
            index  index.html index.htm;
        }
    }

    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}

}

over!!