Nginx 配置 SSL 证书 + HTTPS 站点小记
Nginx 配置 SSL 证书 + HTTPS 站点小记
今天给几个站点配置了认证的 ssl 证书，但是苦于自己技术不过关，或是知识不足，导致还有那么一小点 Bug 的出现，这里就我配置 HTTPS 站点的经验来总结一下吧。
一、什么是 SSL 证书，什么是 HTTPS 网站？
SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了）。即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。（）
二、什么网站需要 SSL 证书？
就我遇到过的网站，配置了认证的证书的，大概有这么几类：
1、购物交易类网站
这个就不用说了，支付宝、Paypal等肯定会加密以保护你的密码安全。
2、注册类站点
有些大站点，注册会员或者登陆的时候，会专门通过SSL通道，来保护你的密码安全，比如：
3、在线代理类站点
这个，为了防止天朝某个部分嗅探出没加密的内容，嗯哼，就不说了。
比如我……
三、Nginx 下如何配置证书
之前，我介绍过如何购买并且配置 Godaddy 的证书：《》，后来因为一个小失误，每次修改 Nginx 配置，重启 Nginx 的时候都会输入密码，所以之后买了 Comodo 的证书，并且让 @Paveo 帮我全部配置好，哈哈。
但是总请别人来配置总不太好意思，所以我得自己研究一下，然后，就当作记录和总结吧。
1、Nginx 配置 ssl 模块
默认 Nginx 是没有 ssl 模块的，而我的 VPS 默认装的是 Nginx 0.7.63 ，顺带把 Nginx 升级到 0.7.64 并且 配置 ssl 模块方法如下：
下载 Nginx 0.7.64 版本，解压 进入解压目录：
wget http://sysoev.ru/nginx/nginx-0.7.64.tar.gz
tar zxvf nginx-0.7.64.tar.gz
cd nginx-0.7.64
如果要更改header信息的话，
vi src/core/nginx.h
#define NGINX_VERSION&&&&& "0.7.62"
#define NGINX_VER&&&&&&&&& "nginx/" NGINX_VERSION
上面的版本号和nginx自己修改
./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
make && make install
如果有 IPV6 模块，加上 --with-ipv6 参数：
./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-ipv6
（来源：）
因为是小网站，用不着平滑升级，直接 killall nginx 杀掉 nginx 进程，然后 /usr/local/nginx/sbin/nginx 启动 nginx 即可
OK，升级并且安装好 ssl 模块完毕，这里我把 Nginx 修改成了 zoulu，于是乎：
怎么样，很有个性吧！
2、使用 OpenSSL 生成证书
①、生成RSA密钥的方法
openssl genrsa -out privkey.pem 2048
有的证书要 1024 的，所以得：
openssl genrsa -out privkey.pem 1024
②、生成一个证书请求
openssl req -new -key privkey.pem -out cert.csr
会提示输入省份、城市、域名信息等，重要的是，email 一定要是你的域名后缀的，比如
并且能接受邮件！
这样就有一个 csr 文件了，提交给 ssl 提供商的时候就是这个 csr 文件
（来源：）
直接 cat cert.csr
得到一大串字符，比如这样：
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
提交给你的 ssl 提供商即可，一般半个钟头到一天时间就会发给你证书，如图：
把所有文件全部上传到一个特定的目录，比如我是上传到 /root/zoulu/
这里，zoulukey.pem 和 zoulucert.csr 是自己在 VPS 生成的，剩下的都是证书签发机构颁发的。
一般情况下，直接用证书签发机构颁发的 crt 文件即可，比如 zou_lu.crt ，但是有很多证书签发机构默认在 Firefox 中文版下是不会信任的，经过仔细研究，终于发现，原来得把证书签发机构办法给你的 crt 文件也放入才行。
方法如下：
合并 PositiveSSLCA.crt （证书签发机构的 crt） 和 zou_lu.crt (自己域名的 crt)
cat& zou_lu.crt && PositiveSSLCA.crt
mv PositiveSSLCA.crt& zou_lu.crt
或者直接用记事本打开，然后复制 PositiveSSLCA.crt 里面所有的内容到 zou_lu.crt 最下方即可。
（来源：）
③、修改 Nginx 配置
listen& 443;
server_name zou.
index index.html index.htm index.
root& /home/
error_page 404 403 http://zou.
ssl_certificate /root/zoulu/zou_lu.
ssl_certificate_key /root/zoulu/zoulukey.
其他的配置信息和一般站点的一样，不再重复。
四、访问测试结果
在 Firefox 英文版 / Chrome / Opera / Safari / IE 6、7、8 下均没问题，
在 Firefox 3.5.7 中文版下没问题，遇到问题的童鞋，检查你的系统时间，要是还不信任，那我也不是很清楚了，抱歉能力有限。
五、如何获得免费的证书
的证书是 PositiveSSL 签发的，这是一家 Comodo 的 Reseller ，目前可以通过如下途径获得：
注册、转移一个域名或者购买一款空间就能获得，而且是免费一年的哦！
需要注意的是，NameCheap 注册后颁发的证书没有证书签发机构的 PositiveSSLCA.crt ，这里我就放一个，为了大家安装方便：
-----BEGIN CERTIFICATE-----
MIIFAzCCA+ugAwIBAgIQTM1KmltFEyGMz5AviytRcTANBgkqhkiG9w0BAQUFADCB
lzELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAlVUMRcwFQYDVQQHEw5TYWx0IExha2Ug
Q2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMSEwHwYDVQQLExho
dHRwOi8vd3d3LnVzZXJ0cnVzdC5jb20xHzAdBgNVBAMTFlVUTi1VU0VSRmlyc3Qt
SGFyZHdhcmUwHhcNMDYwOTE4MDAwMDAwWhcNMjAwNTMwMTA0ODM4WjBxMQswCQYD
VQQGEwJHQjEbMBkGA1UECBMSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYDVQQHEwdT
YWxmb3JkMRowGAYDVQQKExFDb21vZG8gQ0EgTGltaXRlZDEXMBUGA1UEAxMOUG9z
aXRpdmVTU0wgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC9T3lY
IpPJKD5SEQAvwKkgitctVR4Q57h/4oYqpOxe6eSSWJZUDfMXukGeFZFV78LuACAY
RYMm3yDMPbOhEzEKIVx5g3mrJBVcVvC0lZih2tIb6ha1y7ewwVP5pEba8C4kuGKe
joteK1qWoOpQ6Yj7KCpNmpxIT4O2h65Pxci12f2+P9GnncYsEw3AAcezcPOPabuw
PBDf6wkAhD9u7/zjLbTHXRHM9/Lx9uLjAH4SDt6NfQDKOj32cuh5JaYIFveriP9W
XgkXwFqCBWI0KyhIMpfQhAysExjbnmbHqhSLEWlN8QnTul2piDdi2L8Dm53X5gV+
wmpSqo0HgOqODvMdAgMBAAGjggFuMIIBajAfBgNVHSMEGDAWgBShcl8mGyiYQ5Vd
BzfVhZadS9LDRTAdBgNVHQ4EFgQUuMoR6QYxedvDlMboGSq8uzUWMaQwDgYDVR0P
AQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8CAQEwewYDVR0fBHQwcjA4oDagNIYy
aHR0cDovL2NybC5jb21vZG9jYS5jb20vVVROLVVTRVJGaXJzdC1IYXJkd2FyZS5j
cmwwNqA0oDKGMGh0dHA6Ly9jcmwuY29tb2RvLm5ldC9VVE4tVVNFUkZpcnN0LUhh
cmR3YXJlLmNybDCBhgYIKwYBBQUHAQEEejB4MDsGCCsGAQUFBzAChi9odHRwOi8v
Y3J0LmNvbW9kb2NhLmNvbS9VVE5BZGRUcnVzdFNlcnZlckNBLmNydDA5BggrBgEF
BQcwAoYtaHR0cDovL2NydC5jb21vZG8ubmV0L1VUTkFkZFRydXN0U2VydmVyQ0Eu
Y3J0MA0GCSqGSIb3DQEBBQUAA4IBAQAdtOf5GEhd7fpawx3jt++GFclsE0kWDTGM
MVzn2odkjq8SFqRaLZIaOz4hZaoXw5V+QBz9FGkGGM2sMexq8RaeiSY9WyGN6Oj5
qz2qPMuZ8oZfiFMVBRflqNKFp05Jfdbdx4/OiL9lBeAUtTF37r0qhujop2ot2mUZ
jGfibfZKhWaDtjJNn0IjF9dFQWp2BNStuY9u3MI+6VHyntjzf/tQKvCL/W8NIjYu
zg5G8t6P2jt9HpOs/PQyKw+rAR+lQI/jJJkfXbKqDLnioeeSDJBLU30fKO5WPa8Y
Z0nf1R7CqJgrTEeDgUwuRMLvyGPui3tbMfYmYb95HLCpTqnJUHvi
-----END CERTIFICATE-----
你也可以试试 Startssl 的证书，缺点是在旧电脑，没有更新的情况下，IE 6是绝对不信任他的，详见：
最后声明一点，受信任的 ssl 证书必须有独立IP，或者说，一个IP只能对应一个域名的证书，爱玩的朋友可以弄一个玩玩。
发表评论：
TA的最新馆藏您的浏览器已经禁用了脚本，这可能会影响您正常使用本站的功能。
Nginx实现https单向认证
要安装http_ssl_module模块，需要OpenSSL库和相关的开发包，因此在安装前，必须安装这些支持。在系统下，直接用安装即可
# yum install openssl openssl-devel
-zxvf pcre-8.12.tar.gz
# ./configure &prefix=/usr/local
# make install
# tar -zxvf nginx-1.0.0.tar.gz
# cd nginx-1.0.0
# ./configure &prefix=/usr/local/nginx &user=www &group=www &with-http_ssl_module &with-pcre
# make install
2、制作密匙（单项认证）
/usr/local/nginx/ssl
# cd /usr/local/nginx/ssl
# openssl genrsa -des3 -out server.key 1024 (建立服务器私钥，在这个过程中需要输入密码短语，需要记住这个密码)
# openssl req -new -key server.key -out server.csr
输入命令以后，需要填写如下内容：
Country Name(国家：中国填写CN)
State or Province Name(区域或是省份：CHONGQING)
Locality Name(地区局部名字：CHONGQING)
Organization Name(机构名称：填写公司名)
Organizational Unit Name(组织单位名称:部门名称)
Common Name(网站域名)
Email Address(邮箱地址)
A challenge password(输入一个密码)
An optional company name(一个可选的公司名称)
输入万这些内容，就会在当前目录生成server.csr文件
server.key server.key.org
# openssl rsa -in server.key.org -out server.key (对于使用上面的私钥启动具有SSL功能的NGINX)
# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt (使用上面的密钥和CSR对证书进行签名)
3、配置NGINX
编辑需要使用HTTPS的域名的NGINX配置文件（上面填写的Common Name网站域名）
listen 443;
ssl_certificate /usr/local/nginx/ssl/server.
ssl_certificate_key /usr/local/nginx/ssl/server.
保存，重启NGINX这样就搭建了一个简单的https服务的网站（单项认证）。
收藏Ctrl+D
关注Linux/Unix应用技术、业界新闻，同时也发布开源、移动互联网等新鲜资讯！
—— Powered　——运行在nginx如何配置https ssl - 推酷
nginx如何配置https ssl
最近在研究
，整好遇到一个需求就是希望
与客户端之间传输内容是加密的，防止中间监听泄露信息，但是去证书服务商那边申请证书又不合算，因为访问
的都是内部人士，所以自己给自己颁发证书，忽略掉浏览器的不信任警报即可。下面是颁发证书和配置过程。
首先确保机器上安装了open
#yum install openssl
#yum install openssl-devel
然后就是自己颁发证书给自己
#cd /usr/local/nginx/conf
#openssl genrsa -des3 -out server.key 1024
#openssl req -new -key server.key -out server.csr
#openssl rsa -in server.key -out server_nopwd.key
#openssl x509 -req -days 365 -in server.csr -signkey server_nopwd.key -out server.crt
至此证书已经生成完毕，下面就是配置
listen 443;
ssl_certificate
/usr/local/nginx/conf/server.
ssl_certificate_key
/usr/local/nginx/conf/server_nopwd.
然后重启nginx即可。
ps： 如果出现“[emerg] 10464#0: unknown directive “
” in /usr/local/nginx-0.6.32/conf/nginx.conf:74”则说明没有将ssl模块编译进nginx，在configure的时候加上“–with-http_ssl_module”即可^^
至此已经完成了
服务器搭建，但如何让浏览器信任自己颁发的证书呢？
今天终于研究捣鼓出来了，只要将之前生成的server.crt文件导入到系统的证书管理器就行了，具体方法：
控制面板 -& Internet选项 -& 内容 -& 发行者 -& 受信任的根证书颁发机构 -& 导入 -》选择server.crt
访问的是443端口，所以iptables要放开这个口，才可以
如果你是一名技术人员可加我QQ ,如果你是java技术人还可以加入QQ群 你将得到的不仅仅是技术的交流，还有职业机会，人生解惑.
首发地址：月小升博客 –
无特殊说明，文章均为月小升原创，欢迎转载，转载请注明本文地址，谢谢
已发表评论数()
请填写推刊名
描述不能大于100个字符!
权限设置： 公开
仅自己可见
正文不准确
标题不准确
排版有问题
主题不准确
没有分页内容
图片无法显示
视频无法显示
与原文不一致Nginx下配置网站SSL实现https访问
在今年的早些时候百度搜索已经全面实现https模式，并宣称已经可以抓取https网页了，相比谷歌早年就已经支持https的抓取，百度虽然晚了一点，但是毕竟现在还是有了，站长之家上也有人探讨关于https模式对百度谷歌seo的影响，虽然还没有人给出实际测试的数据，但是百度全站https模式的话或多或少也能说明百度当下对https站点的态度吧！
然后切入主题讲一讲Nginx下配置网站ssl实现https模式访问的方法
第一步：服务器环境，lnmp即Linux+Nginx+PHP+MySQL，本文中以我的博客为例，使用的是阿里云最低档的vps+免费的Linux服务器管理系统WDCP快速搭建的lnmp环境(同类产品还有amh有免费版以及收费版)，具体安装以及使用方法都可以在其官方论坛找到详细的操作文档。
第二步：创建你的网站，使用lnmp环境创建你的网站，已有网站的，确保你的程序在lnmp下能够正常的运行，以wordpress为例，lamp跟lnmp下的伪静态规则是不同的，有过更换的，要记得切换。
第三步：申请免费的ssl证书。
第四步：配置网站ssl，找到你需要配置ssl的网站的Nginx配置文件，以WDCP为例配置文件在/www/wdlinux/nginx/conf/vhost/目录，将以下代码添加只网站的配置文件server中，同时为了方便管理，需要将你申请的nginx下的ssl证书上传到/www/wdlinux/nginx/conf/目录，不同的管理系统或者是手动配置的lnmp环境这个目录都是不一样的，请根据你的实际情况进行调整。
ssl_certificate_key /www/wdlinux/nginx/conf/pastdust.
ssl_certificate /www/wdlinux/nginx/conf/pastdust.
因为ssl访问的不是传统网站的80端口，而是443端口则需要在配置文件中继续为网站添加443端口，为了方便不知道把以上放在配置文件的什么位置的人，以下将我网站完整的配置文件贴出，可以根据你的实际情况进行修改。
listen 80;
listen 443;
root /www/web/pastdust_com/public_
index.html index.php index.
error_page
400 /errpage/400.
error_page
403 /errpage/403.
error_page
404 /errpage/404.
ssl_certificate_key
/www/wdlinux/nginx/conf/pastdust.
ssl_certificate
/www/wdlinux/nginx/conf/pastdust.
location ~ \.php$ {
fastcgi_pass
127.0.0.1:9000;
fastcgi_index
include fcgi.
include rewrite/pastdust.
确认以上都修改无误之后，重启nginx基本上这个时候你的网站就能通过ssl访问了，但是还有一些细节问题需要调整，譬如以上网站配置文件是http与https模式并存的，还需要做一个跳转，件http模式的访问全部跳转到https模式。
第五步：网站强制访问https模式，以wordpress为例，将以下的跳转代码添加到当前网站所有使用的伪静态规则conf文件中，即可实现所有的http访问都跳转到https访问，并且是继承目录的，具体实现方法就是把http模式访问301重定向到https模式。
if ($server_port = 80) {
return 301 https://$server_name$request_
if ($scheme = http) {
return 301 https://$server_name$request_
error_page 497 https://$server_name$request_
到这个时候，你访问你网站的某些页面的时候，以使用chrome浏览器为例，部分页面https不会显示绿色，显示的是打X或者是黄色，是因为你网站内部譬如css文件，外链图片等使用的依然是http模式，然后就是最后一步，全站https化。
第六步：全站https化，以wordpress为例，首先是修改网站主题中所有的https链接元素，然后在数据库中批量替换ssl化之前添加的图片附件，Sql命令如下：
UPDATE wp_posts SET post_content = replace( post_content, '','') ;
以上六部即可实现lnmp下网站ssl的配置，并让全站https模式访问，具体的关于https模式访问在百度SEO这一块的表现，需要等待一些时间的数据，因为截至到这篇文章发布位置，我也只是刚刚将博客https化，有需要参考最终实现效果的可以参考我的博客，所有的代码修改都是原版分享没有保留，同时欢迎大家留言探讨。
延伸阅读：
原文地址：/nginx-ssl-https/&欢迎转载 但请备注来源
注：相关网站建设技巧阅读请移步到频道。
看过本文的人还看过
最新图文推荐
最新专栏文章
大家感兴趣的内容
网友热评的文章