本文档指导您如何在 Nginx 服务器中安装 SSL 证书。
一、操作场景
本文档指导您如何在 Nginx 服务器中安装 SSL 证书。
说明:
1、本文档以证书名称 shenco.wang 为例。
2、Nginx 版本以 nginx/1.18.0 为例。
3、当前服务器的操作系统为 CentOS 7,由于操作系统的版本不同,详细操作步骤略有区别。
4、安装 SSL 证书前,请您在 Nginx 服务器上开启 “443” 端口,避免证书安装后无法启用 HTTPS。具体可查询 服务器如何开启443端口?
5、SSL 证书文件上传至服务器方法可查询 如何将本地文件拷贝到云服务器。
二、前提条件
1、已准备文件远程拷贝软件,例如 WinSCP(建议从官方网站获取最新版本)。
2、已准备远程登录工具,例如 PuTTY 或者 Xshell(建议从官方网站获取最新版本)。
3、已在当前服务器中安装配置 Nginx 服务。windows环境安装nginx可参考Nginx Windows详细安装部署教程。
4、安装 SSL 证书前需准备的数据如下:
| 名称 | 说明 |
|---|---|
| 服务器的 IP 地址 | 服务器的 IP 地址,用于 PC 连接到服务器。 |
| 用户名 | 登录服务器的用户名。 |
| 密码 | 登录服务器的密码。 |
三、操作步骤
1、证书安装
1、已在 SSL 证书管理控制台 中下载并解压缩 shenco.wang 证书文件包到本地目录。 解压缩后,可获得相关类型的证书文件。其中包含 Nginx 文件夹和 CSR 文件:
文件夹名称:Nginx
文件夹内容:
1_shenco.wang.crt或pem 证书文件
2_shenco.wang.key 私钥文件
CSR 文件内容: shenco.wang.csr 文件
说明: CSR 文件是申请证书时由您上传或系统在线生成的,提供给 CA 机构。安装时可忽略该文件。
2、使用 “WinSCP”(即本地与远程计算机间的复制文件工具)登录 Nginx 服务器。 3、将已获取到的 1_shenco.wang_bundle.crt 证书文件和 2_shenco.wang.key 私钥文件从本地目录拷贝到 Nginx 服务器的 /usr/local/nginx/conf 目录(此处为 Nginx 默认安装目录,请根据实际情况操作)下。 4、远程登录 Nginx 服务器。例如,使用 “PuTTY” 工具 登录。 5、编辑 Nginx 根目录下的 conf/nginx.conf 文件。修改内容如下:
此操作可通过执行 vim /usr/local/nginx/conf/nginx.conf 命令行编辑该文件。 由于版本问题,配置文件可能存在不同的写法。例如:Nginx 版本为 nginx/1.15.0 以上请使用 listen 443 ssl 代替 listen 443 和 ssl on。
server {
#SSL 访问端口号为 443
listen 443 ssl;
#填写绑定证书的域名
server_name shenco.wang;
#证书文件名称
ssl_certificate 1_shenco.wang.pem;
#私钥文件名称
ssl_certificate_key 2_shenco.wang.key;
ssl_session_timeout 5m;
#请按照以下协议配置
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
location / {
#网站主页路径。此路径仅供参考,具体请您按照实际目录操作。
root html;
index index.html index.htm;
}
}
6、在 Nginx 根目录下,通过执行以下命令验证配置文件问题。
nginx -t
- 若存在,请您重新配置或者根据提示修改存在问题。
- 若不存在,请执行 步骤7。
7、重启 Nginx,即可使用 https://shenco.wang 进行访问。
2、HTTP 自动跳转 HTTPS 的安全配置(可选)
如果您需要将 HTTP 请求自动重定向到 HTTPS。您可以通过以下操作设置:
根据实际需求,选择以下配置方式:
- 1、在页面中添加 JS 脚本。
- 2、在后端程序中添加重定向。
- 3、通过 Web 服务器实现跳转。
- 4、Nginx 支持 rewrite 功能。若您在编译时没有去掉 pcre,您可在 HTTP 的 server 中增加
return 301 https://$host$request_uri;,即可将默认80端口的请求重定向为 HTTPS。修改如下内容:
未添加注释的配置语句,您按照下述配置即可。 由于版本问题,配置文件可能存在不同的写法。例如:Nginx 版本为 nginx/1.15.0 以上请使用 listen 443 ssl 代替 listen 443 和 ssl on。
server {
listen 443 ssl;
#填写绑定证书的域名
server_name shenco.wang;
#证书文件名称
ssl_certificate 1_shenco.wang_bundle.crt;
#私钥文件名称
ssl_certificate_key 2_shenco.wang.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
#网站主页路径。此路径仅供参考,具体请您按照实际目录操作。
root html;
index index.html index.htm;
}
}
server {
listen 80;
#填写绑定证书的域名
server_name shenco.wang;
#把http的域名请求转成https
return 301 https://$host$request_uri;
}
若修改完成,重启 Nginx。即可使用 http://shenco.wang 进行访问。