佳木斯湛栽影视文化发展公司
主頁 > 知識(shí)庫 > Nginx配置https原理及實(shí)現(xiàn)過程詳解

Nginx配置https原理及實(shí)現(xiàn)過程詳解
熱門標(biāo)簽:美圖手機(jī) 硅谷的囚徒呼叫中心 百度競(jìng)價(jià)點(diǎn)擊價(jià)格的計(jì)算公式 使用U盤裝系統(tǒng) 網(wǎng)站建設(shè) 阿里云 檢查注冊(cè)表項(xiàng) 智能手機(jī)

使用linux實(shí)用工具certbot來生成https證書

這個(gè)工具是生成Let's Encrypt證書,

Let's Encrypt數(shù)字證書認(rèn)證機(jī)構(gòu),Let's Encrypt 是由互聯(lián)網(wǎng)安全研究小組(ISRG,一個(gè)公益組織)提供的服務(wù)

提供免費(fèi)的SSL/TLS證書

2015年12月3日,該服務(wù)進(jìn)入公測(cè)階段,正式面向公眾。

2016年4月12日,該項(xiàng)目正式離開Beta階段。

到2016年9月9日,Let's Encrypt 已經(jīng)發(fā)放 1000 萬張證書。

因此對(duì)于大部分中小型網(wǎng)站來說,是一個(gè)值得考慮的選擇。

https配置的步驟

1打開 https://certbot.eff.org/ 選擇對(duì)應(yīng)操作系統(tǒng)與 Web 服務(wù)器

這里我選擇nginx服務(wù)器,CentOS7服務(wù)器上

2執(zhí)行命令,并根據(jù)需要修改相應(yīng)域名參數(shù)。

certbot要通過yum安裝,certbot被打包到epel源中,

所以安裝啟動(dòng)epel庫,安裝epel源查看鏈接

https://fedoraproject.org/wiki/EPEL#How_can_I_use_these_extra_packages.3F

啟動(dòng)epel源,可以使用手動(dòng)自己?jiǎn)?dòng)epel,也可以借助yum-config-manager命令來啟動(dòng)

安裝yum-config-manager

yum -y install yum-utils

啟動(dòng)epel

yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

3安裝certbot

sudo yum install certbot python2-certbot-nginx

獲取證書的兩種方式:身份驗(yàn)證器和安裝程序

使用webRoot插件進(jìn)行安裝,這個(gè)要求你的服務(wù)器80端口能夠正常被訪問到(這個(gè)域名是屬于你的)

webRoot插件通過certonly和--webroot(或者-w)在命令行上執(zhí)行命令

certbot certonly -w /var/www/example -d www.example.com

certbot certonly -w 可以被http訪問到的webroot目錄 -d 要配置https的域名名稱

上面的 /var/www/example表示的是在nginx配置文件中root根節(jié)點(diǎn)所指向的根路徑

webroot插件的工作原理是為每個(gè)請(qǐng)求的域創(chuàng)建一個(gè)臨時(shí)文件${webroot-path}/.well-known/acme-challenge。

然后,Let的加密驗(yàn)證服務(wù)器發(fā)出HTTP請(qǐng)求,以驗(yàn)證每個(gè)請(qǐng)求的域的DNS是否解析為運(yùn)行certbot的服務(wù)器。

訪問請(qǐng)求如下

66.133.109.36 - - [05/Jan/2016:20:11:24 -0500] "GET /.well-known/acme-challenge/HGr8U1IeTW4kY_Z6UIyaakzOkyQgPr_7ArlLgtZE8SX HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

所以我們服務(wù)器需要放通.well-known/acme-challenge這個(gè)訪問路徑

例如,

server
  {
    listen 80;
    server_name www.example.com; 
    index index.html ;
    root /var/www/example;
  
    。。。
  
    location ~ /.well-known {
      allow all;
    }
  }

具體的http配置文件

server
  {
    listen 80;
    server_name www.example.com; 
    index index.html ;
    root /var/www/www.example.com;


    location / {
      proxy_redirect off;
      proxy_pass http://localhost:8080;
      proxy_set_header Host $host;
      proxy_set_header  X-real-ip $remote_addr;
      proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    #error_page  404  /404.html;

    location /nginx_status
    {
      #stub_status on;
      #access_log  off;
    }

    location ~ /.well-known {
      allow all;
    }

    location ~ /\.
    {
      deny all;
    }
access_log /data/log/nginx//var/www/www.example.com/-access.log;
    error_log /data/log/nginx//var/www/www.example.com/-error.log;
}

執(zhí)行完命令后,https證書就會(huì)生成在/etc/letsencrypt/live目錄下

certbot certonly -w /var/www/example -d www.example.com

比如上面的命令會(huì)生成證書/etc/letsencrypt/live/www.example.com/fullchain.pem

生成證書密鑰文件/etc/letsencrypt/live/www.example.com/privkey.pem

然后我們只需要為該域名加上https配置,我們nginx就配置完成https

https對(duì)應(yīng)443端口

具體https配置文件

server
  {
    listen 443 ssl http2;
    #listen [::]:443 ssl http2;
    server_name www.example.com;
    index index.html index.htm index.php default.html default.htm default.php;
    root /var/www/www.example.com/;
    
    ssl on;
    ssl_certificate /etc/letsencrypt/live/www.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.example.com/privkey.pem;
    
   location / {
      proxy_redirect off;
      proxy_pass http://localhost:8080;
      proxy_set_header Host $host;
      proxy_set_header  X-real-ip $remote_addr;
      proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    #error_page  404  /404.html;

    include enable-php-pathinfo.conf;

    location ~ /.well-known {
      allow all;
    }

    location ~ /\.
    {
      deny all;
    }

    access_log /data/log/nginx/www.example.com-ssl-access.log;
    error_log /data/log/nginx/www.example.com-ssl-error.logs;  
}

查看生產(chǎn)的證書

tree /etc/letsencrypt/live/

證書續(xù)簽

Let's Encrypt 生成的免費(fèi)證書為3個(gè)月時(shí)間,但是我們可以無限次續(xù)簽證書

certbot renew

使用定時(shí)器來自動(dòng)重新生成證書

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew

centos6使用

1獲取certbot客戶端

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

2停止nginx

service nginx stop

3生成證書

./certbot-auto certonly --standalone --email `你的郵箱地址` -d `你的域名地址`

當(dāng)前網(wǎng)站有多個(gè)域名時(shí)需在后面增加,例如

./certbot-auto certonly --standalone --email `你的郵箱地址` -d `你的域名1` -d `你的域名2`

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

標(biāo)簽:通遼 湖北 煙臺(tái) 懷化 賀州 黃山 湘潭 山南

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《Nginx配置https原理及實(shí)現(xiàn)過程詳解》,本文關(guān)鍵詞  ;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 收縮
    • 微信客服
    • 微信二維碼

    • 電話咨詢

    • 400-1100-266
    梁平县| 福鼎市| 九江市| 灌阳县| 虞城县| 红安县| 兰溪市| 昌黎县| 鹤庆县| 梓潼县| 天长市| 莎车县| 旬邑县| 清丰县| 喀什市| 衡阳县| 霍林郭勒市| 航空| 永嘉县| 黔江区| 崇文区| 太仓市| 金寨县| 新乡市| 凤山县| 剑河县| 琼中| 天祝| 格尔木市| 莎车县| 湄潭县| 始兴县| 汝南县| 唐河县| 敖汉旗| 永靖县| 旬邑县| 介休市| 临清市| 台北市| 兴和县|