Nginx全站开启HTTPS

已于 2022-02-15 16:41:26 修改
阅读量2.8k 收藏 2
点赞数 1
分类专栏: Nginx 文章标签: https nginx ssl 域名 ca证书
于 2022-02-15 16:39:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012131025/article/details/122947756
版权

Nginx配置全站HTTPS

—— 以腾讯云CentOS7为例

本文章讲述了如何通过 acme.sh 申请泛域名 SSL 证书,并使用 Nginx 配置全站 HTTPS 的详细过程。

本文章始发于:Nginx全站开启HTTPS

本文章目录:

文章目录

泛域名SSL证书申请

使用acme.sh申请letsencrypt泛域名SSL证书,并自动续期

下载安装acme.sh

1、下载安装acme.sh

curl  https://get.acme.sh | sh -s email=my@example.com

2、查看是否下载成功并安装

cd ~/.acme.sh/

如果没有该目录,下载失败,说明GitHub地址可能被墙了,这时需要更新一下host,再尝试重新下载安装:

(1)打开IPAddress,查询以下域名IP地址,记录域名对应的IP

  • github.com

  • raw.Githubusercontent.com
    请添加图片描述
    请添加图片描述

(2)根据记录的IP域名修改HOST

比如上述记录的如下,一个域名对于多个IP分多行写

140.82.112.4 github.com
185.199.108.133 githubusercontent.com
185.199.109.133 githubusercontent.com
185.199.110.133 githubusercontent.com
185.199.111.133 githubusercontent.com

修改本地HOST文件/etc/hosts,添加如上所得记录:vim /etc/hosts

(3)刷新DNS,centos 7 为例,其他自行百度:nscd -i hostssystemctl restart nscd

3、设置bash别名

alias acme.sh=~/.acme.sh/acme.sh

4、开启 acme.sh 自动更新

acme.sh  --upgrade  --auto-upgrade

申请SSL证书

安装好 acme.sh 后就可以准备为域名申请SSL证书,

1、获取对应域名服务商的DNS API,具体请看:How to use DNS API,笔者使用的是腾讯云,所以用的是dns_dp,登录DNSPod获取点击头像那边“API 秘钥”获取“DNSPod Token”,点击“创建秘钥”,创建成功后记录 ID 与 Token 。

请添加图片描述

2、把 ID 与 Token 添加到用户环境变量中:vim ~/.bash_profile,不同的服务商配置项可能有出入,具体请查看How to use DNS API

export DP_Id="123456"
export DP_Key="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

保存,使其生效:source ~/.bash_profile

3、申请对应泛域名(主域名与*通配符域名)SSL证书。上面第2点需配置好,注意 --dns 后面的参数应该对应你申请域名的服务商DNS API,支持的API列表:acme.sh/dnsapi

acme.sh --issue --dns dns_dp -d yourdomain.com -d *.yourdomain.com

4、如果配置正确,申请正常,生成的秘钥位于“acme.sh目录/你申请的域名/”下 ~/.acme.sh/yourdomain.com

cd ~/.acme.sh
ls
cd yourdomain.com

~/.acme.sh/yourdomain.com.cer
~/.acme.sh/yourdomain.com.key

至此,SSL证书申请完毕后,下一步 Nginx 配置全站开启 HTTPS

关于自动续期

申请的泛域名SSL证书有效期为 3 个月,但是 acme.sh 会为我们自动续期SSL,无需我在在进行操作,它生产一个crontab,输入crontab -l即可查看到。

24 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

Nginx配置全站HTTPS

开放 443 端口

1、主机 443 端口开启

# 查询 443 是否开放
firewall-cmd --query-port=443/tcp

# 如果没有开放,开放443端口
firewall-cmd --permanent --add-port=443/tcp
# 重启防火墙
firewall-cmd --reload

2、云主机安全组/防火墙 443 端口开放

请添加图片描述

配置 Nginx 规则

1、添加HTTPS通用配置:0.ssl.conf.server,证书路径修改成刚刚 acme.sh 申请到的证书绝对路径

listen 443 ssl http2;

ssl_certificate /root/.acme.sh/yourdomain.com/yourdomain.com.cer;
ssl_certificate_key /root/.acme.sh/yourdomain.com/yourdomain.com.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;

2、添加HTTP跳转到HTTPS默认配置;访问错误域名返回403:0.default.conf

server {
    listen 80 default_server;
    server_name *.yourdomain.com; # 跳转至HTTPS
    rewrite ^(/.*)$ https:$host$1 permanent; #302跳转到https地址
    error_page 497 https://$host$request_uri; #497用于http到https的强制跳转
}

server {
    server_name _;
    include 0.ssl.conf.server; # 引入HTTPS通用配置,监听开启HTTPS
    return 403;
}

3、新加网站Nginx配置示例:

3.1 示例1

# 网站首页
server {
    server_name yourdomain.com www.yourdomain.com;

    access_log /www/index/access.log;
    
    include 0.ssl.conf.server; # 引入HTTPS通用配置,监听开启HTTPS
    location / {
        root   /www/index;
        index  index.html;
    }

    location ~ .*\.(log)?$ {
        return 403;
    }	
}

3.2 示例2

upstream blog {
    server 127.0.0.1:8080;
}

server {
    server_name blog.yourdomain.com;

    include 0.ssl.conf.server; # 引入HTTPS通用配置,监听开启HTTPS
    location / {
        proxy_pass http://blog;
        proxy_set_header HOST $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

配置生效测试

1、检测配置是否正确

nginx -t

2、重载配置

nginx -s reload

3、测试访问

MylesYYY
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
nginx配置使用真实的host和 port
huidalang123的博客
06-24 934
这行代码的目的是确保被代理的后端服务器接收到的 X-Forwarded-Proto 头字段正确地反映了原始请求的协议类型(HTTP 或 HTTPS)。这对于后端服务来说可能是重要的,因为它可能需要根据这个信息来决定是否将响应加密(例如,如果原始请求是 HTTPS 的,后端服务可能希望返回加密的响应以保持安全性)。X-Forwarded-Proto: 这是一个自定义的 HTTP 请求头,通常由反向代理(如 Nginx)设置,用于向后端服务器传递原始请求的协议信息。
Windows下Nginx配置SSL实现Https访问(包含证书生成)
10-12
随着网络安全意识的增强和技术的发展,许多知名网站如百度、谷歌、GitHub 等都已经实现了全站 HTTPS 加密。HTTPS 不仅能够提升用户体验,还能够保护用户的隐私和网站的安全,避免流量被恶意劫持。 #### 二、配置...
nginx配置+https
12-10
nginx配置+https
nginx开启https功能
guo_3472428370的博客
05-20 2652
http:80 https:443 下边这种协议比http要安全,因为数据传输是经过加密的 当访问http://www.baidu.com的时候,访问的url会跳转到https://www.baidu.com 一.https简介 1.https其实是由两部分组成的:HTTP+SSL/ TLS,也就是在HTTP上有加了一层加密处理信息的模块。服务端和客户端信息传输都会通过TLS进行加密,所以传输的数据都是加密。具体时间如何进行加密,解密,验证的,且看下图 搭建https网站: 1.先安装依
nginx开启https
w2909526的博客
04-20 616
ssl on; ssl_certificate /usr/local/nginx/conf/ssl/213986422830320.pem; ssl_certificate_key /usr/local/nginx/conf/ssl/213986422830320.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.
网站使用nginx部署ssl证书开启https开启http2)
haixtx的博客
04-06 1755
文章介绍了在项目部署阶段通过nginx配置项目的https以及http2,完整介绍了申请ssl证书到成功部署https的流程
Nginx开启https访问
火星人专栏
07-29 2062
创建ssl证书#进入你想创建证书和私钥的目录 cd /home/conf #创建服务器私钥 openssl genrsa -des3 -out server.key 1024 #创建签名请求的证书(CSR) openssl req -new -key server.key -out server.csr #在加载SSL支持的Nginx并使用上述私钥时除去必须的口令 cp server.key ser
dns+nginx+tomcat实现https
08-13
- 第二个`server`块用于处理HTTP请求,并重定向到HTTPS,从而实现全站HTTPS化。 #### 四、Tomcat配置简介 Tomcat是一款开源的Servlet容器,通常用于部署Java Web应用程序。在本案例中,Tomcat作为后端应用服务器...
nginx 全套装备
11-17
Nginx 全套装备】是一份包含了Nginx安装过程中所需主要依赖包的集合,旨在简化安装过程,提供一站式的解决方案。Nginx是一款高性能的Web服务器和反向代理服务器,因其轻量级、高并发处理能力而受到广大用户的青睐...
单机架站全攻略资源下载
11-08
本资源下载包含了单机架站的全过程,涵盖了从硬件选择、操作系统安装、服务器软件配置到安全防护等多个方面。下面我们将详细探讨这些知识点。 1. **硬件选择**:单机架站首先需要合适的硬件,包括处理器、内存、...
酷妖之家全站程序 v4.0
06-22
"酷妖之家全站程序 v4.0"是一款完整的网站程序,主要用于构建具有特定功能和设计的在线平台。这个版本号v4.0表明该软件已经经历了多次迭代和改进,通常意味着更稳定、功能更丰富。在安装和使用此程序之前,用户需要...
nginx启用https
qq_38352483的博客
05-15 560
**现在项目基本上都是使用https来进行访问,保障一定的安全性能。而以前的方式都是在tomcat上面配置ssl,但是现在流量上去了,一台服务器已经不满足使用了,需要使用多个服务来分流访问。我们这里就来聊聊nginx分发并启用https访问的相关内容。 先简单了说说nginx的安装。** 1、安装nginx依赖包 yum -y install gcc gcc-c++ autoconf automake make yum -y install zlib zlib-devel openssl openss.
nginx实现全站https
skyknight928的博客
07-25 284
如果一个站点有n多应用和域名,要全部实现https的话需要修改很多代码(把所有http请求的资源全部改成https)是非常消耗时间的。如果通过nginx代理的话就可以做到,在nginx proxy后,利用nginx的 substitution模块把所有http替换成https就可以了。 ...
nginx 配置启用https
08-16 295
server { listen 80; listen 443 ssl; server_name pay.example.com; index index.php index.html index.htm default.php default.htm default.html; root /www/wwwroot/pay.example.com; #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则 #error_p.
Nginx 启用 https
IOsetting的专栏
01-09 139
nginx.conf中增加新server配置 server { listen 443; server_name www.some.com; ssl on; ssl_certificate sslkey/some.com.crt; ssl_certificate_key sslkey/some.com.ke...
nginx开通https
热门推荐
齐较瘦的博客
06-12 4万+
nginx开通https 简述 为大家提供一个https的配置流程吧,供大家参考。 1、下载SSL证书 2、两个证书放在cert目录上然后放到nginxnginx.conf同目录下 3、去nginx解压目录下执行 ./configure --with-http_ssl_module 如果报错 ./configure: error: SSL modules require the OpenSSL library. 则执行 yum -y install openssl openssl-devel ./c
centos8 nginx 开启 sslhttps)- 阿里云申请 SSL 证书
linzi19900517的博客
12-19 1430
域名开启 sslhttps证书,以阿里云为例。
nginx环境下全站https实用操作指南(附操作步骤)
十堰SEO
05-20 1136
前言 最近看到很多站都做了https改造,手上刚好有个闲置的域名和服务器,就准备做一下测试,看看https对搜索引擎的友好度到底如何,是否像官方所说的有优待呢?拭目以待吧。我也把操作步骤记录下来,以便于观察到底怎么样。 前期准备 1、给域名购买SSL证书,现在购买SSL证书的途径太多了,我使用了Let's Encrypt免费三个月做测试,具体申请步骤可以到网上找各类教程,如果你装的有宝塔面...
Nginx启用HTTPS详解:从获取SSL证书到配置指南
最新发布
kiingking的博客
07-19 299
要使Nginx支持HTTPS,您需要完成以下步骤。假设您已经在服务器上安装了Nginx,并且有基本的Linux命令行操作经验。
nginx 开启https
08-19
要在nginx开启HTTPS,首先需要确保nginx支持HTTPS。可以通过运行命令nginx -V来查看nginx是否支持HTTPS。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title] - *...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值