IT博客汇
  • 首页
  • 精华
  • 技术
  • 设计
  • 资讯
  • 扯淡
  • 权利声明
    • 登录 注册

    nginx配置HTTPS

    usity发表于 2016-11-19 06:20:46
    love 0

    使用ssl模块配置同时支持http和https并存

    一,生成证书
    # 1、首先,进入你想创建证书和私钥的目录,例如: cd /etc/nginx/ 
    # 2、创建服务器私钥,命令会让你输入一个口令: openssl genrsa -des3 -out server.key 1024 
    # 3、创建签名请求的证书(CSR): openssl req -new -key server.key -out server.csr # 
    4、在加载SSL支持的Nginx并使用上述私钥时除去必须的口令: cp server.key server.key.org openssl rsa -in server.key.org -out server.key 
    # 5、最后标记证书使用上述私钥和CSR: openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt16


    二,配置nginx
    cd /etc/nginx
    vim nginx.conf
    #
    # HTTPS server configuration
    #
    server {

    .....
        listen 443;
        server_name  本机的IP地址 / domain;
        ssl                  on;
        ssl_certificate      /etc/nginx/server.crt;
        ssl_certificate_key  /etc/nginx/server.key;
        ssl_session_timeout 5m; 

    #禁用不安全的SSLv1 2 3,只使用TLS
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
    ssl_prefer_server_ciphers on; 
    #RC4也是不安全的了,只能去掉
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
     
    #301转移 80   或者 第四步中的办法均可
    #if ($server_port = 80) {
    #return 301 https://$server_name$request_uri;
    #}

    .....

    }
    重启nginx,在浏览器输入:https://domain


    三、受浏览器信任的StartSSL免费SSL证书:
    跟VeriSign一样,StartSSL(网址:http://www.startssl.com,公司名:StartCom)也是一家CA机构,
    它的根证书很 久之前就被一些具有开源背景的浏览器支持(Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等)。


    四、项目需要,将访问目录 \services\ 由http访问 重定向到 https (解决方法:nginx rewrite 加上 location 方式实现)

    location ~ /services/.*$ { if ($server_port ~ "^80$"){
                set $rule_0 1$rule_0;
            } if ($rule_0 = "1"){
                rewrite /(.*) https://IP地址/$1 permanent; break;
            }
        }


    五,配置结束上传以后用nginx -t 测试下配置无误 就reload一下nginx服务 检查443端口是否在监听
    /usr/local/nginx/sbin/nginx -t
    nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok  
    nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful (显示表示配置文件没有错误)

    service nginx reload (重新加载nginx服务)  
    netstat -lan | grep 443 (查看443端口)  
    tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN (有看到这一行 就表示HTTPS已经在工作了)

    六,在nginx要禁止某个或一类资源,只需要增加一个location,然后在其中使用deny all即可。

    禁止访问扩展名为bat的文件,配置如下:
     
    location ~* /.bat {
      deny all;
    }
    禁止访问configs目录,以及其下所有子目录或文件,配置如下:
     
    location ^~ /configs/ {
      deny all;
    }
    注意上述configs后面的斜杠不能少,否则所有以configs开头的目录或文件都将禁止访问。

    转载于:http://blog.csdn.net/weixin_35884835/article/details/52588157



沪ICP备19023445号-2号
友情链接