nginx配置ssl實現https訪問 小白文

剛剛部署完服務器後的我滿懷欣喜地訪問自己的網站，看哪都哪滿意。但是興奮感一過發現，誒，爲什麼瀏覽器左上角會提示不安全？想了想，不行，我也要搞個https來，我也要上鎖！

HTTP協議以明文方式發送內容，不提供任何方式的數據加密。爲了數據傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證服務器的身份，併爲瀏覽器和服務器之間的通信加密。

申請證書

在這裏，我直接申請騰訊雲的免費證書。這裏需要注意下，這亞洲誠信機構頒發的免費證書只能一個域名使用，子域名那些需要另外申請。別說，這騰訊裏面申請還挺快的，十多分鐘就通過了。下載的是一個zip文件，解壓後打開裏面的Nginx文件夾，把1_XXX.com_bundle.crt跟2_XXX.com.key文件複製下來。

打開nginx配置文件

不知道nginx文件位置的話可以通過whereis nginx命令來查找。

我的配置文件在/ect/nginx，現在把剛纔的兩個證書文件複製過來，待會直接配置使用就行了。nginx的配置文件是nginx.conf，裏面的配置內容有以下，爲了容易明白，我都加上了註釋。

# 運行用戶，默認即是nginx，可以不進行設置
user  nginx;
#Nginx進程，一般設置爲和CPU核數一樣
worker_processes  1;

#錯誤日誌存放目錄
error_log  /var/log/nginx/error.log warn;
#進程pid存放位置
pid        /var/run/nginx.pid;

events {
    worker_connections  1024; # 單個後臺進程的最大併發數
}

http {
    include       /etc/nginx/mime.types; #文件擴展名與類型映射表
    default_type  application/octet-stream; #默認文件類型
    #設置日誌模式
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main; #nginx訪問日誌存放位置

    sendfile        on; #開啓高效傳輸模式
    #tcp_nopush     on; #減少網絡報文段的數量

    keepalive_timeout  65; #保持連接的時間，也叫超時時間

    #gzip  on; #開啓gzip壓縮

    include /etc/nginx/conf.d/*.conf; #包含的子配置項位置和文件
}

大致看一下就好了，這是全局配置。爲了更好管理，我們還是在最後一行聲明的/etc/nginx/conf.d文件夾裏進行子項目配置。
打開裏面的default.conf

#設定虛擬主機配置
server {
  #偵聽443端口，這個是ssl訪問端口
  listen    443;
  #定義使用 訪問域名
  server_name  XXX.com;
  #定義服務器的默認網站根目錄位置
  root /web/www/website/dist;  

  #設定本虛擬主機的訪問日誌
  access_log  logs/nginx.access.log  main;

  # 這些都是騰訊雲推薦的配置，直接拿來用就行了，只是修改證書的路徑，注意這些路徑是相對於/etc/nginx/nginx.conf文件位置
  ssl on;
  ssl_certificate 1_XXX.com_bundle.crt;
  ssl_certificate_key 2_XXX.com.key;
  ssl_session_timeout 5m;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個協議配置
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個套件配置
  ssl_prefer_server_ciphers on;

  #默認請求
  location / {     
  root /web/www/website/dist;      
      #定義首頁索引文件的名稱
      index index.html;
  }

  #靜態文件，nginx自己處理
  location ~ ^/(images|javascript|js|css|flash|media|static)/ {
      #過期30天，靜態文件不怎麼更新，過期可以設大一點，
      #如果頻繁更新，則可以設置得小一點。
      expires 30d;
  }

  #禁止訪問 .htxxx 文件
  #    location ~ /.ht {
  #    deny all;
  #}

}
server
{
  # 80端口是http正常訪問的接口
  listen 80;
  server_name XXX.com;
  # 在這裏，我做了https全加密處理，在訪問http的時候自動跳轉到https
  rewrite ^(.*) https://$host$1 permanent;
}

唔，配置基本就這些，挺簡單的吧。小白福利。

然後我們配置文件寫好後用nginx測試一下

nginx -t

妥妥的，這個過了後就能重啓nginx生效了。

這裏需要注意下，導入新的證書後需要重啓而不是重載，nginx -s reload是普通修改配置重載。

# 停止nginx
nginx -s stop
# 啓動
nginx

重啓後再次訪問自己的網站，嘖嘖，完美，左上角加上鎖，提示安全的連接。誒，搞定，開心。

nginx日常操作命令

• nginx -t 測試配置文件
• nginx -s reload 修改配置後重載生效
• nginx -s reopen 重新打開日誌文件
• nginx -s stop 快速停止
• nginx -s quit

查看nginx進程
ps -ef | grep nginx