nginx配置ssl支持https的详细步骤，项目实践

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新Linux运维全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上运维知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip1024b （备注运维）

正文

    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; # 可选配置， 指定了 SSL/TLS 握手过程中允许使用的加密算法的优先级顺序。（具体查看注释7）
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; # 可选配置，指定了允许使用的 SSL/TLS 协议版本。（具体查看注释8）
    ssl_prefer_server_ciphers  on; # 可选配置（具体查看注释9）

}

}

2. 修改保存了上面的配置文件之后，使用`nginx -t`验证一下配置文件是否正确配置。
3. 提示syntax ok之后，就可以用`nginx -s reload`重载配置，使配置立即生效。


### 二、验证


通过https访问上面配置好的网站，可以在浏览器地址栏左侧的锁图标点开看看是否显示证书是安全的了。


### 三、（可选）HTTP重定向到HTTPS


如果希望将所有HTTP请求重定向到HTTPS,可以添加以下配置:

server {
listen 80;
server_name example.com;
return 301 https://$serve{r}_{n}ame$request_uri;
}

保存修改之后，`nginx -s reload`重载配置文件即可。


### 相关注释


1. **ssl证书**：


	* 有免费的有也收费的，没钱的用免费的就行了， 比如Let’s Encrypt。
	* 如何下载证书？
		+ 可以去阿里云的`数字证书`页面获取，可以申请20个免费的DigitCert证书
		+ Let’s Encrypt的可以安装certbot自动化下载证书还可以自动续期
	* Let’s Encrypt如何通过certbot下载证书？
		1. centos中通过yum安装certbot：`yum install certbot -y`
		2. 签发下载泛域名证书`*.example.com`(这样所有子域名也可以用): `certbot certonly -d "*.example.com" -d example.com --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory`, 其中`--preferred-challenges dns-01`表示通过dns的方式验证自己对网站的所有权。比如我的域名解析服务是阿里云提供的，按照certbot的要求，去阿里云的云解析界面添加一个指定的TXT类域名解析就行了。
		3. 签发成功后给出如下提示
		
		 
		```
				 Congratulations! Your certificate and chain have been saved at:
		   /etc/letsencrypt/live/example.com/fullchain.pem
		   Your key file has been saved at:
		   /etc/letsencrypt/live/example.com/privkey.pem
		   Your certificate will expire on 2024-06-16. To obtain a new or
		   tweaked version of this certificate in the future, simply run
		   certbot again. To non-interactively renew *all* of your
		   certificates, run "certbot renew"
		
		```
		4. 之后快要过期之前通过`certbot renew`即可签发新的证书。
	* 证书有效期？
		+ 免费的证书目前一般只有3个月有效期，到期之前需要重新签发新的证书
	* 证书还没过期，直接新申请一个证书，旧的证书会立即失效吗？
		+ 不会。旧证书的过期时间是固定的,不会因为申请了新证书而提前失效。除非你直接把旧的证书从服务器上删掉了。
		+ 可以在在过期前提前申请好一个新的证书，新的证书不会影响旧的证书。然后过期前把新的证书放到服务器替换掉旧的证书，并`nginx -s reload`重载配置就行了。
2. **关于ssl\_certificate**


	* 证书文件包含服务器的公钥、服务器信息以及证书颁发机构（CA）的数字签名。
	* 证书文件用于向客户端证明服务器的身份，并提供服务器的公钥。
	* 可以是`.pem`格式的文件，也可以是`.crt`格式的文件（详情查看注释4）
3. **关于ssl\_certificate\_key**


	* 私钥文件包含与证书文件中公钥相对应的私钥。
	* 私钥用于对数据进行解密和签名操作，必须严格保密。
	* 可以是`.pem`格式的文件，也可以是`.key`格式的文件
4. **pem文件和crt文件有啥区别，都能用吗？**


	* SSL证书的PEM和CRT格式都是用于存储SSL/TLS证书的文件格式，它们之间有一些区别，但在大多数情况下可以互换使用。
	* PEM（Privacy Enhanced Mail）格式是一种基于Base64编码的文件格式，以 `-----BEGIN CERTIFICATE-----` 开头，以 `-----END CERTIFICATE-----` 结尾。PEM文件可以包含证书、私钥或者公钥。PEM格式的文件可以用于存储SSL/TLS证书、私钥和公钥。
	* CRT（Certificate）格式与PEM格式类似，也是基于Base64编码，但通常只包含证书本身，不包含私钥。CRT格式的文件通常只用于存储SSL/TLS证书。
	* 如果你有一个包含证书和私钥的PEM文件，可以直接在Nginx配置中使用该文件。以Let’s Encrypt签发的证书为例，ssl\_certificate填`/path/to/fullchain.pem`和ssl\_certificate\_key填对应私钥地址`/path/to/privkey.pem`
	* 如果你有单独的CRT证书文件和私钥文件，需要在Nginx配置中分别指定证书文件和私钥文件的路径。
5. **ssl\_session\_cache**


	* 这个配置设置了 SSL 会话缓存的类型和大小。
	* `shared` 表示在所有工作进程之间共享缓存。
	* `SSL` 是缓存的名称。
	* `1m` 表示缓存的最大大小为 1 兆字节。
	* 启用 SSL 会话缓存可以提高性能，因为它允许客户端在后续连接中重用之前协商的会话参数，避免了重新进行完整的 SSL/TLS 握手过程。
6. **ssl\_session\_timeout**


	* 这个配置设置了 SSL 会话缓存的超时时间为 5 分钟。
7. **ssl\_ciphers**


	* 这个配置指定了 SSL/TLS 握手过程中允许使用的加密算法的优先级顺序。
	* 它使用了一个加密算法的列表，按照优先级从高到低排列。
	* 建议使用安全性较高的加密算法，并禁用一些不安全的算法（如 NULL、aNULL、MD5、ADH、RC4 等）。
8. **ssl\_protocols**


	* 指定了允许使用的 SSL/TLS 协议版本。
	* 建议只启用安全的协议版本，如 TLSv1.1、TLSv1.2 和 TLSv1.3，禁用不安全的 SSL v2 和 SSL v3。
9. **ssl\_prefer\_server\_ciphers**


	* 这个配置指定了在 SSL/TLS 握手过程中，优先使用服务器端指定的加密算法，而不是客户端提供的加密算法。
	* 这样可以确保使用更安全的加密算法。
10. **同一个域名不同端口，可以用同一个SSL证书吗？**

![](https://img-blog.csdnimg.cn/img_convert/9a8cb5f8c0ec69e6499adead0da6e95b.png)



最全的Linux教程，Linux从入门到精通

======================

1.  **linux从入门到精通(第2版)**

2.  **Linux系统移植**

3.  **Linux驱动开发入门与实战**

4.  **LINUX 系统移植 第2版**

5.  **Linux开源网络全栈详解 从DPDK到OpenFlow**



![华为18级工程师呕心沥血撰写3000页Linux学习笔记教程](https://img-blog.csdnimg.cn/img_convert/59742364bb1338737fe2d315a9e2ec54.png)



第一份《Linux从入门到精通》466页

====================

内容简介

====

本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷，并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本，循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘，内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件，供读者免费下载。



![华为18级工程师呕心沥血撰写3000页Linux学习笔记教程](https://img-blog.csdnimg.cn/img_convert/9d4aefb6a92edea27b825e59aa1f2c54.png)



**本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读，同时也非常适合准备从事Linux平台开发的各类人员。**

> 需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论




**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip1024b （备注运维）**
![img](https://img-blog.csdnimg.cn/img_convert/73347c18d0870ba8a9d83d3ac2ddc797.jpeg)

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**
。**

**需要这份系统化的资料的朋友，可以添加V获取：vip1024b （备注运维）**
[外链图片转存中...(img-myFT0SvR-1713386126956)]

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**