nginx配置ssl實現https訪問 小白文

摘要： 剛剛部署完伺服器後的我滿懷欣喜地訪問自己的網站，看哪都哪滿意。但是興奮感一過發現，誒，為什麼瀏覽器左上角會提示不安全？想了想，不行，我也要搞個https來，我也要上鎖！ HTTP協議以明文方式傳送內容，不提供任何方式的資料加密。為了資料傳輸的安全，HTTPS在HTTP的...

剛剛部署完伺服器後的我滿懷欣喜地訪問自己的網站，看哪都哪滿意。但是興奮感一過發現，誒，為什麼瀏覽器左上角會提示不安全？想了想，不行，我也要搞個https來，我也要上鎖！

HTTP協議以明文方式傳送內容，不提供任何方式的資料加密。為了資料傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證伺服器的身份，併為瀏覽器和伺服器之間的通訊加密。

申請證書

在這裡，我直接申請騰訊雲的免費證書。這裡需要注意下，這亞洲誠信機構頒發的免費證書只能一個域名使用，子域名那些需要另外申請。別說，這騰訊裡面申請還挺快的，十多分鐘就通過了。下載的是一個zip檔案，解壓後開啟裡面的Nginx資料夾，把1_XXX.com_bundle.crt跟2_XXX.com.key檔案複製下來。

開啟nginx配置檔案

不知道nginx檔案位置的話可以通過whereis nginx命令來查詢。

我的配置檔案在/ect/nginx，現在把剛才的兩個證書檔案複製過來，待會直接配置使用就行了。nginx的配置檔案是nginx.conf，裡面的配置內容有以下，為了容易明白，我都加上了註釋。

# 執行使用者，預設即是nginx，可以不進行設定
usernginx;
#Nginx程序，一般設定為和CPU核數一樣
worker_processes1;

#錯誤日誌存放目錄
error_log/var/log/nginx/error.log warn;
#程序pid存放位置
pid/var/run/nginx.pid;

events {
worker_connections1024; # 單個後臺程序的最大併發數
}

http {
include/etc/nginx/mime.types; #副檔名與型別對映表
default_typeapplication/octet-stream; #預設檔案型別
#設定日誌模式
log_formatmain'$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';

access_log/var/log/nginx/access.logmain; #nginx訪問日誌存放位置

sendfileon; #開啟高效傳輸模式
#tcp_nopushon; #減少網路報文段的數量

keepalive_timeout65; #保持連線的時間，也叫超時時間

#gzipon; #開啟gzip壓縮

include /etc/nginx/conf.d/*.conf; #包含的子配置項位置和檔案
}
複製程式碼

大致看一下就好了，這是全域性配置。為了更好管理，我們還是在最後一行宣告的/etc/nginx/conf.d資料夾裡進行子專案配置。 開啟裡面的default.conf

#設定虛擬主機配置
server {
#偵聽443埠，這個是ssl訪問埠
listen443;
#定義使用 訪問域名
server_nameXXX.com;
#定義伺服器的預設網站根目錄位置
root /web/www/website/dist;

#設定本虛擬主機的訪問日誌
access_loglogs/nginx.access.logmain;

# 這些都是騰訊雲推薦的配置，直接拿來用就行了，只是修改證書的路徑，注意這些路徑是相對於/etc/nginx/nginx.conf檔案位置
ssl on;
ssl_certificate 1_XXX.com_bundle.crt;
ssl_certificate_key 2_XXX.com.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個協議配置
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個套件配置
ssl_prefer_server_ciphers on;

#預設請求
location / {
root /web/www/website/dist;
#定義首頁索引檔案的名稱
index index.html;
}

#靜態檔案，nginx自己處理
location ~ ^/(images|javascript|js|css|flash|media|static)/ {
#過期30天，靜態檔案不怎麼更新，過期可以設大一點，
#如果頻繁更新，則可以設定得小一點。
expires 30d;
}

#禁止訪問 .htxxx 檔案
#location ~ /.ht {
#deny all;
#}

}
server
{
# 80埠是http正常訪問的介面
listen 80;
server_name XXX.com;
# 在這裡，我做了https全加密處理，在訪問http的時候自動跳轉到https
rewrite ^(.*) https://$host$1 permanent;
}
複製程式碼

唔，配置基本就這些，挺簡單的吧。小白福利。

然後我們配置檔案寫好後用nginx測試一下

nginx -t
複製程式碼

妥妥的，這個過了後就能重啟nginx生效了。

這裡需要注意下，匯入新的證書後需要重啟而不是過載，nginx -s reload是普通修改配置過載。

# 停止nginx
nginx -s stop
# 啟動
nginx
複製程式碼

重啟後再次訪問自己的網站，嘖嘖，完美，左上角加上鎖，提示安全的連線。誒，搞定，開心。