一. 准备证书
1. 使用wich openssl命令来检查linux机器上是否安装了openssl,没有自行百度安装,如果有,会返回openssl路径。
2. 在nginx目录下执行mkdir ssl (创建ssl目录存放ssl证书)
3. #使用openssl建立服务器私钥(过程需要输入密码,请记住这个密码)生成RSA密钥
> openssl genrsa -des3 -out server.key 1024
#生成一个证书请求
> openssl req -new -key server.key -out server.csr
#需要依次输入国家,地区,组织,email。最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书(测试环境不用写,直接回车过)
#---------------------------------------------------------------------------------------------------------------
Enter pass phrase for server.key: #之前输入的密码
Country Name (2 letter code) [XX]: #国家
State or Province Name (full name) []: #区域或是省份
Locality Name (eg, city) [Default City]: #地区局部名字
Organization Name (eg, company) [Default Company Ltd]: #机构名称:填写公司名
Organizational Unit Name (eg, section) []: #组织单位名称:部门名称
Common Name (eg, your name or your server's hostname) []: #网站域名
Email Address []: #邮箱地址
A challenge password []: #输入一个密码,可直接回车
An optional company name []: #一个可选的公司名称,可直接回车
#---------------------------------------------------------------------------------------------------------------
#输入完这些内容,就会在当前目录生成server.csr文件
使用下面命令可以删除私钥中的密码:
openssl rsa -in server.key -out server.key
#使用下面的密钥和CSR对证书进行签名
>cp server.key server.key.org(备份保管好key)
>openssl rsa -in server.key.org -out server.key
#以下命令生成v1版证书
>openssl x509 -req -days 365 -sha256-in server.csr -signkey server.key -out servernew.crt
更简单的办法:https://csr.chinassl.net/
二.配置nginx
1.nginx配置如图:将server前面的#注释符号去掉,开启443端口就开启了https,然后在端口443 后面加上ssl,就是开启了ssl证书,或者田间下面 ssl on这一行,推荐第一种。接下来的ssl_certificate 是刚刚生成证书的路径,ssl_certificate_key是key的路径。 在下面的配置就是一些加密之类的,可有可无,有默认的。location /{转发到的目的地}
2.重启nginx生效