Nginx 支持 HTTPS

3 篇文章 0 订阅
2 篇文章 0 订阅

Nginx 支持 HTTPS

本文意在说明如何在内网环境中使用 Nginx 支持 HTTPS 方式访问项目

安装 openssl

官网:openssl.org

下载链接:https://www.openssl.org/source/openssl-1.1.1l.tar.gz

## 创建文件夹 
mkdir /home/archser/soft/
## 将软件上传到服务器的 openssl 文件夹中、解压
tar -xzvf openssl-1.1.0-pre1.tar.gz
## 进入文件夹
cd openssl-1.1.0-pre1
## 自动配置 --prefix=/usr/local/openssl 在特殊情况也可以不写,但是会导致找不到 libssl.so.1.1 ,后面也有解决方式
./config --prefix=/usr/local/openssl
## 编译
make
## 安装
make install

生成证书

# 1、首先,进入你想创建证书和私钥的目录,我直接进入openssl-1.1.1l目录,比较方便
cd /home/archser/soft/openssl-1.1.1l
# 2、创建服务器私钥,会让你输入一个口令,输入完之后会生成 server.key
openssl genrsa -des3 -out server.key 1024
# 3、创建签名请求的证书(CSR):这里会让确认很多配置,全部直接回车即可,生成 server.csr,
# Common Name 要特别注意, 要用你服务器的域名,我们测试用ttt.com
openssl req -new -key server.key -out server.csr 
# 4、在加载SSL支持的Nginx并使用上述私钥时除去必须的口令:
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
# 5、最后标记证书使用上述私钥和CSR: 生成 server.crt
openssl x509 -trustout -req -days 365 -in server.csr -signkey server.key -out server.crt

检查 Nginx 插件情况

[root@MiWiFi-R3600-srv soft]# nginx -V
nginx version: nginx/1.14.2
built by gcc 4.8.5 20150623 (NeoKylin  4.8.5-39) (GCC) 
configure arguments: --prefix=/home/archser/soft/nginx
## 如果出现 (configure arguments: --with-http_ssl_module), 说明已安装,
## 但是使用这个文档的情景应该都没有安装过的

配置 Nginx 的 ssl

一般情况下都是不存在ssl模块的,接下来进入到你的解压缩后的nginx目录,注意这里不是nginx安装目录,是解压缩后的目录,进入目录执行:

## 配置ssl 模块,进入解压缩后的nginx目录
## 如果前面执行 ./config --prefix=/usr/local/openssl 的时候没有加入后面的文件路径,可能会报找不到文件
## 解决方案:指定文件夹路径 
##./configure --prefix=/home/archser/soft/nginx  --with-http_ssl_module  --with-openssl=/home/archser/soft/openssl-1.1.1l
./configure --prefix=/home/archser/soft/nginx  --with-http_ssl_module 
## 接下来执行
make
## 切记不要执行 **make install**,否则会重新安装 nginx,会覆盖之前的配置

上述操作执行完成以后,你的目录下会出现 objs 文件夹,文件夹内存在 nginx 文件

需要将之前的 nginx 备份,将 objs 文件夹中的 nginx文件复制到之前的Nginx文件夹中

## 进入原本 Nginx 的 sbin 目录
cd /home/archser/soft/nginx/sbin/
## 备份文件
cp  nginx  nginx.bck
## 复制新的 nginx 文件
cp /home/archser/soft/nginx-1.14.2/objs/nginx ./

Nginx 支持 HTTPS

## 备份原始配置文件
cd /home/archser/soft/nginx/conf/
cp nginx.conf nginx.conf.backup
## 修改配置文件,将下面的内容加入到 nginx.conf 文件中的 http 的大括号中
server {
        listen 443  ssl;
        server_name localhost1;
        ssl on;
        ## 下面是我们之前生成的文件的位置
        ssl_certificate /home/archser/soft/openssl-1.1.1l/server.crt;
        ssl_certificate_key /home/archser/soft/openssl-1.1.1l/server.key;
        ssl_session_timeout  5m;
        location / {
                root html;
                index index.html index.htm testssl.html;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}

测试 nginx 配置是否正常: nginx -t

重启 nginx ,reload 可能会不生效,建议停止之后重启:

nginx -s stop
nginx

使用 https 访问服务器,不用加端口号,https 默认端口号是 443

会出现提示连接不是专用连接的情况,点击 高级 --> 继续访问 即可

修改项目配置信息

修改 Nginx 配置信息

参照上面的配置,修改所有项目的前端配置文件,文件位置在 nginx/conf/services 所有文件都需要修改

  • 端口号后面加
ssllisten 443  ssl;
  • 补充配置信息
ssl on;
ssl_certificate /home/archser/soft/openssl-1.1.1l/server.crt;
ssl_certificate_key /home/archser/soft/openssl-1.1.1l/server.key;
ssl_session_timeout  5m;
  • 如下所示
server {
    listen       11028 ssl;
    ssl on;
    ssl_certificate /home/archser/soft/openssl-1.1.1l/server.crt;
    ssl_certificate_key /home/archser/soft/openssl-1.1.1l/server.key;
    ssl_session_timeout  5m;
	location / {
		root   /home/archser/services/aserver-ui;
		index  index.html;
    	try_files $uri $uri/ =404;
	}
	location ~ \.(gif|jpg|jpeg|bmp|png|ico|txt|mp3|mp4|swf|css|js|ttf)$ {
		root   /home/archser/services/aserver-ui;
		expires max;
	}
	location /aserver {
		proxy_pass   http://127.0.0.1:11038/aserver;
		proxy_set_header Host $host;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		# websocke 连接需要下面的配置
		proxy_http_version 1.1;
		proxy_set_header Upgrade $http_upgrade;
		proxy_set_header Connection $connection_upgrade;
		proxy_set_header X-Real-IP $remote_addr;
	}
}

修改数据库连接信息

update AS_CONFIG set val = replace(val,'http','https') where id = 1;
update AS_SYSTEM set url = replace(url,'http','https');

让 nginx 重新加载配置文件

nginx -s reload 

测试https 访问结果:

  • 谷歌浏览器访问 https://ip ,浏览器会提示连接不是私密连接

  • 点击 高级 -> 继续访问 即可正常访问

遇到的问题

没有 libssl.so.1.1 这个文件

这个问题的原因是 openssl 需要 libssl.so.1.1,但是有的服务器上使用的相关文件不是这个版本,所以会报没有这个文件

[root@MiWiFi-R3600-srv key]# openssl genrsa -des3 -out server.key 1024 
openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory

解决方案:

## 是因为在配置 openssl 的时候没有指定配置路径,操作系统找不到文件
## 可以为文件生成软连接去解决这个问题
ln -s /home/archser/soft/openssl-1.1.1l/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /home/archser/soft/openssl-1.1.1l/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

需要安装 openssl

问题原因是服务器中缺失 openssl 的环境

百度上都是使用 yum 安装的,执行 yum -y install openssl openssl-devel 但是我们的项目现场可能无法使用 yum

解决方案:指定 openssl 的路径

 ./configure --prefix=/home/archser/soft/nginx --with-openssl=/home/archser/soft/openssl-1.1.1l  --with-http_ssl_module 
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值