如何在Nginx服務器上安裝證書實現HTTPS升級?
背景
現在後臺的服務實現https越來越普及了,爲了保證後臺服務的安全性,一般都會進行https升級,而且有些機構強制性要求實現https,所以這篇文章從頭到尾說下如何申請域名、如何購買證書、如何配置證書實現https等等細節。
怎麼購買域名和配置域名解析?
爲什麼要購買域名呢?之所以這裏要先購買域名,是因爲你會發現,在通過申請證書的時候是需要設置這個證書所綁定的域名,IP不行,所以在購買證書前還是先買個域名吧。
購買域名有很多途徑,最方便的莫過於通過一些知名的雲平臺,如阿里雲、騰訊雲等等。
下面提供兩個雲平臺的購買地址:
阿里雲官網入口
騰訊雲官網入口
下面是我在阿里雲上購買的域名情況,在後面的例子中其實用的是另外一個域名,但是涉及到一些隱私問題,不方便對外公佈,所以這裏用自己購買的域名爲例進行說明。
我購買了一個用來購買分享的域名lefenxiang.club(樂分享,讓分享快樂你我)。
在購買了域名之後,我們需要將這個域名指向我們需要指向的服務器地址上,或者是某個負載均衡器上,當然也可能是自己購買的一些雲端負載均衡服務。總之,會有一個公網IP地址。怎麼配置呢?下面還是以阿里云爲例進行說明:
然後在彈框中進行設置:
這裏的記錄類型選擇的事A,如果只是指向一個簡單的IP地址的話。這裏的記錄值填寫IP地址。
在配置完成並保存後,我們可以在控制檯執行ping命令看下這個域名解析是否能夠成功。我們看到可以正常接收到返回,說明域名解析生效了。(正常情況下,域名購買後要過一會纔會生效,如果是企業內部網絡,可能同步的時間需要較長。)
如何購買證書?
一般來說,HTTPS證書的購買都是需要花錢的,但是免費的也有。這裏介紹一種既免費又方便的獲取方式,那就是通過阿里雲。在阿里雲平臺上我們可以申請一個基本的免費證書,並且可以免費使用1年。如果在1年內網站發展的不錯,自然也不會吝惜幾千塊錢買個升級版的證書了。
在請求完免費的證書之後,並不能直接使用,而是需要根據阿里雲的要求提交一些證書綁定的信息,如域名、使用者信息,並且提交申請,在審覈通過後才能真正可以使用。
從上面可以看到我申請的證書綁定了www.lefenxiang.club這個域名,並且有效期到2020年11月份。後面如果要使用這個證書,那麼可以下載相應的證書文件部署到相應的服務器上。在右下角可以看到證書下載的入口,點擊下載後會彈出如下圖所示的提示,可以根據自己的需要選擇相應的證書包。我們這裏將證書部署在Nginx上,所以選擇Nginx。
如何在Nginx上配置證書?
怎麼實現可以按照下方阿里雲的介紹說明一步步來,親測有效。
在Nginx/Tengine服務器上安裝證書
下面簡單講下Nginx服務器上配置證書的過程。如果還沒有安裝過Nginx,可以自行在官網下載Nginx的安裝包,網上有很多現成的安裝步驟。
下面是Nginx安裝後的根目錄:
在conf子目錄下有nginx最重要的信息-配置文件nginx.conf,不管有沒有配置過這個文件,建議在修改前先進行一個備份。
我們需要將之前申請的證書拷貝到nginx的根目錄,可以在根目錄下創建一個cert的子文件夾,絕對地址可能像/usr/local/nginx/cert這樣,當然也可以在其他目錄,在nginx配置文件中進行配置相應的地址就可以了。
使用vim nginx.conf打開這個文件,按照下面的標紅提示在server中添加https相關的配置,如下所示:
至此,https相關的配置就全部配置完了,你可以通過一些工具,如Postman,來模擬發起請求,看看是否相應的配置已經生效。至於Nginx自身的一些路由配置,大家可以自行學習瞭解。
其他說明
在域名解析過程中,除了上面的ping命令外,我們還可能會使用到和域名相關的兩個命令nslookup和dig,至於這兩個命令的詳細使用方法這裏就不說明了,有需要的可以自行百度學習下,這個這些命令可以知道域名解析的詳細過程,都經過了哪些DNS服務器等等。
結語
本文對如何申請和購買域名、購買和安裝證書進行了說明,實現了在Nginx服務器上完成了HTTPS升級。