一個ip對應多個域名多個ssl證書配置-Nginx實現多域名證書HTTPS
阿新 • • 發佈:2018-11-07
引用處:
一個ip對應多個域名多個ssl證書配置-Nginx實現多域名證書HTTPS
Nginx配置多個HTTPS域名的方法
第一步:一臺伺服器,兩個或者多個域名對映。首先購買https,獲取到CA證書,兩個域名就得到兩套或多套證書
第二步:現在就是Nginx和OpenSSL的安裝與配置(這裡注意,一般情況下一個IP只支援一個SSL證書,那麼我們現在要在一個IP上實現多個SSL證書,就必須讓Nginx支援TLS SNI,由於預設的OpenSSL是沒有開啟TLS SNI的)
1)Nginx支援多域名SSL證書是需要OpenSSL庫支援的,CentOS5.X的OpenSSL庫本身不支援這種特性,需要重新下載編譯,步驟如下:
wget https://www.openssl.org/source/old/0.9.x/openssl-0.9.8zh.tar.gz
tar zxvf ./openssl-0.9.8zh.tar.gz
2)下載Nginx,進行配置
wget http://nginx.org/download/nginx-1.8.0.tar.gz tar zxf nginx-1.8.0.tar.gz cd nginx-1.8.0 ./configure --prefix=/usr/local/nginx1.8.0 --user=www --group=www --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module --with-openssl=../openssl-0.9.8zh
(此處會報錯:出現pcre庫沒找到或zlib沒找到,
在CentOS下可以使用 yum -y install pcre-devel zlib-devel 進行安裝缺失的元件
)
#再然後
make && make install
3)檢查Nginx狀態
#這裡-v小寫的v只展示版本號,大寫的-V會還會展示相關模組
/usr/local/nginx1.8.0/sbin/nginx -V
得到如下結果就說明配置好了:
nginx version: nginx/1.8.0 built by gcc 4.1.2 20080704 (Red Hat 4.1.2-55) built with OpenSSL 0.9.8zh 3 Dec 2015 TLS SNI support enabled #可以看到TLS SNI support打開了 configure arguments: --prefix=/usr/local/nginx1.8.0 --user=www --group=www --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module --with-openssl=../openssl-0.9.8zh
第三步:
配置Nginx 應用伺服器,證書放置到 Nginx/conf/cert 目錄下,nginx.conf檔案如下:
http {
include mime.types;
default_type application/octet-stream;
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
#access_log logs/access.log main;
sendfile on;
#tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 65;
#gzip on;
upstream shop_wechat {
server 127.0.0.1:80;
}
server {
listen 443 ssl;
server_name www.test1.com;
ssl_certificate cert/214257281110004.pem;
ssl_certificate_key cert/214257281110004.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://shop_wechat;
}
}
upstream shop_app {
server 127.0.0.1:1098;
}
server {
listen 443 ssl;
server_name app.test2.com;
ssl_certificate cert/214257663690004.pem;
ssl_certificate_key cert/214257663690004.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://shop_app;
}
}
}
啟動Nginx:報錯-
nginx: [emerg] getpwnam(“www”) failed錯誤
錯誤的原因是沒有建立www這個使用者,應該在伺服器系統中新增www使用者組和使用者www,如下命令:
#/usr/sbin/groupadd -f www
#/usr/sbin/useradd -g www www
最後:訪問下試試看 :https://www.test1.com