Nginx配置SSL自签名证书的方法
生成自签名SSL证书
生成RSA密钥(过程需要设置一个密码,记住这个密码)
$opensslgenrsa-des3-outdomain.key1024
拷贝一个不需要输入密码的密钥文件
$opensslrsa-indomain.key-outdomain_nopass.key
生成一个证书请求
$opensslreq-new-keydomain.key-outdomain.csr
这里会提示输入国家,地区组织,email等信息.最重要的一个是"commonname",需要与网站域名相同.
Enterpassphrasefordomain.key:#之前设置的密码 ----- CountryName(2lettercode)[XX]:CN#国家 StateorProvinceName(fullname)[]:Jilin#地区或省份 LocalityName(eg,city)[DefaultCity]:Changchun#地区局部名 OrganizationName(eg,company)[DefaultCompanyLtd]:Python#机构名称 OrganizationalUnitName(eg,section)[]:Python#组织单位名称 CommonName(eg,yournameoryourserver'shostname)[]:domain.com#网站域名 EmailAddress[]:123@domain.com#邮箱 Achallengepassword[]:#私钥保护密码,可直接回车 Anoptionalcompanyname[]:#一个可选公司名称,可直接回车
输入完这些就会生成一个domain.csr文件,提交给ssl提供商的时候就是这个csr文件.当然这里并没有向任何证书提供商申请,而是自己签发证书.
使用上面的密钥和CSR对证书签名
$opensslx509-req-days365-indomain.csr-signkeydomain.key-outdomain.crt
Nginx下ssl配置方法
检测nginx是否支持SSL:
$nginx-V
如果有显示-with-http_ssl_module表示已编译openssl,支持安装ssl.
如果没有,请重新编译安装nginx
$./configure--with-http_ssl_module--with-http_stub_status_module $make&makeinstall
配置文件:
server{
listen80;
listen443ssl;#监听443端口,开启ssl(必须)
server_namedomain.com;
#sslon;#不建议使用!该指令与listen中ssl参数功能相同.
#引用ssl证书(必须,如果放在nginx/conf/ssl下可以用相对路径,其他位置必须用绝对路径)
ssl_certificate/home/user/domain.com/conf/ssl/domain.crt;
ssl_certificate_key/home/user/domain.com/conf/ssl/domain_nopass.key;
#协议优化(可选,优化https协议,增强安全性)
ssl_protocolsTLSv1TLSv1.1TLSv1.2
ssl_ciphersECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_cipherson;
ssl_session_cacheshared:SSL:10m;
ssl_session_timeout10m;
#自动跳转到HTTPS
if($server_port=80){
rewrite^(.*)$https://$host$1permanent;
}
#其他配置信息...
}
配置完成后检查niginx配置文件是否可用:
$nginx-t#检查nginx配置文件
successful后重新加载配置文件使配置生效:
$nginx-sreload
注:记得开启防火墙的443端口firewall-cmd--zone=public--add_port=443/tcppermanent
注:我使用的nginx+uwsgi部署,这种情况还需要重启下uwsgi,否则无法访问uwsgi--reload./tmp/uwsgi.pid
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。