nginx配置https操作指引

已于 2023-03-29 17:55:59 修改
阅读量4.7k 收藏 10
点赞数 3
分类专栏: Linux 文章标签: nginx https 运维
于 2022-08-22 17:59:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44953227/article/details/126470984
版权

目录

1、检查nginx是否包含http_ssl_module 模块

如果出现 --with-http_ssl_module 就是已经安装了

#通过查看nginx版本,确认是否包含http_ssl_module 模块
nginx -V

在这里插入图片描述


2、生成证书文件

证书存放目录: /home/java/nginx/sslfiles

2.1 直接生成的方式

# 使用 OpenSSL 命令生成证书文件
mkdir /home/java/nginx/sslfiles
cd /home/java/nginx/sslfiles
#生成文件,使用自定义域名,密码根据需要修改;这里不能用IP地址,否则应用程序会警告
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -sha256 -keyout HostDomain.key -out HostDomain.cer -subj "/CN=gov.bizpro.cn"

参数说明

  • -days:证书的有效时长,单位是day

  • -x509:说明生成自签名证书

  • -nodes:如果指定 -newkey 自动生成秘钥,那么 -nodes 选项说明生成的秘钥不需要加密,即不需要输入 passphase

  • -key:指定已有的秘钥文件生成秘钥请求,只与生成证书请求选项-new配合

  • -newkey-newkey 是与 -key 互斥的,-newkey 是指在生成证书请求或者自签名证书的时候自动生成密钥,然后生成的密钥名称由 -keyout 参数指定。当指定 newkey 选项时,后面指定 rsa:bits 说明产生 rsa 密钥,位数由 bits 指定。 如果没有指定选项 -key-newkey,默认自动生成秘钥

  • rsa:2048:rsa表示创建rsa私钥,2048表示私钥的长度。

  • -keyout:指定私钥保存位置。

  • -out:新的证书请求文件位置。

  • -config:指定req的配置文件,指定后将忽略所有的其他配置文件。如果不指定则默认使用 /etc/pki/tls/openssl.cnf 中req段落的值

2.2、使用配置文件生产的方式

创建配置文件 req.cnf


# 定义输入用户信息选项的"特征名称"字段名,该扩展字段定义了多项用户信息。
distinguished_name = req_distinguished_name

# 生成自签名证书时要使用的证书扩展项字段名,该扩展字段定义了要加入到证书中的一系列扩展项。
x509_extensions = v3_req

# 如果设为no,那么 req 指令将直接从配置文件中读取证书字段的信息,而不提示用户输入。
prompt = no

[req_distinguished_name]
#国家代码,一般都是CN(大写)
C = CN
#省份
ST = gd
#城市
L = gz
#企业/单位名称, 组织 (O)
O = bizpro
#企业部门, 组织单位 (OU)	
#OU = bizpro
#证书的主域名, 公用名 (CN)
CN = gov.bizpro.cn

##### 要加入到证书请求中的一系列扩展项 #####
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[ alt_names ]
IP.1 = 192.168.11.55
# IP.2 = 192.168.11.50

在放置该文件的目录下执行以下命令

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout server.key -out server.crt -config req.cnf -sha256

3、修改 nginx.conf 配置文件

找到 nginx.conf,在对应的配置文件加上两处配置

# 1、端口后端增加ssl配置,表示该端口是https协议
listen 8443 ssl;
# 2、在server中配置证书地址, 生成 cer 和 crt 证书文件都可以
ssl_certificate /home/java/nginx/sslfiles/server.crt;
ssl_certificate_key /home/java/nginx/sslfiles/server.key;
#ssl_certificate /home/java/nginx/sslfiles/HostDomain.cer;
#ssl_certificate_key /home/java/nginx/sslfiles/HostDomain.key;

重载nginx。


4、示例说明(8080为http协议;8443为https协议)

server {
	#按实际情况修改; 监听端口 建议80
	listen 8080;
	#按实际情况修改; nginx服务器(本机)地址或域名
	server_name 192.168.11.55;
	#请求体内容最大 大小
	client_max_body_size 20m;
	#请求体缓存 大小
	client_body_buffer_size 3m;
	location /license-admin {
		proxy_pass http://admin-hosts;
		proxy_set_header Host $host:$server_port;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_connect_timeout 800s;
		proxy_send_timeout 800s;
		proxy_read_timeout 800s;
		error_log /usr/local/nginx/logs/admin_error.log warn;
		access_log /usr/local/nginx/logs/admin_access.log main;
	}
}
 
 
server {
	#按实际情况修改; 监听端口 建议443
	listen 8443 ssl;
	#按实际情况修改; nginx服务器(本机)地址或域名
	server_name 192.168.11.55;
	ssl_certificate /home/java/nginx/sslfiles/server.crt;
	ssl_certificate_key /home/java/nginx/sslfiles/server.key;
	#请求体内容最大 大小
	client_max_body_size 20m;
	#请求体缓存 大小
	client_body_buffer_size 3m;
	 
	 
	 
	#https代理http服务(适用tomcat未配https)
	location /license-admin/ {
		proxy_pass http://admin-hosts;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header Host $http_host;
		#https代理http(特性配置)
		proxy_redirect http:// $scheme://;
		#https代理http(特性配置)
		port_in_redirect on;
		#https代理http(特性配置)
		proxy_set_header X-Forwarded-Proto http;
		proxy_connect_timeout 800s;
		proxy_send_timeout 800s;
		proxy_read_timeout 800s;
		error_log /usr/local/nginx/logs/admin_ssl_error.log warn;
		access_log /usr/local/nginx/logs/admin_ssl_ccess.log main;
	}
	 
	#https代理https服务(适用tomcat配有https)
	location /license-admin-xxx/ {
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header Host $http_host;
		proxy_set_header X-Forwarded-Proto https;
		proxy_redirect off;
		proxy_pass https://admin-hosts;
		proxy_connect_timeout 800s;
		proxy_send_timeout 800s;
		proxy_read_timeout 800s;
		error_log /usr/local/nginx/logs/admin_https_error.log warn;
		access_log /usr/local/nginx/logs/admin_https_ccess.log main;
	}
}

ok nginx 配置 https 到这就结束了


(拓展说明1)应用服务器处理证书

将生成好的证书文件 HostDomain.cer 上传到每一部应用服务器中, 进行修改,然后导入到jdk的可信任证书列表,避免报错。

# 密码自改
keytool -keystore cacerts -importcert -alias bizpro -file HostDomain.cer -storepass ******
# 拷贝cacerts 文件到jdk目录中
cp cacerts $JAVA_HOME/jre/lib/security/

(拓展说明2)修改应用服务器的hosts

修改应用服务器中的hosts文件,将证书中的域名和IP地址配置进去。例如 vi /etc/hosts

# 代理服务器的IP地址, 证书中的域名地址
192.168.11.55 gov.bizpro.cn

(拓展说明3)修改应用服务器api中的配置项

修改完重启

#修改每一个api的配置文件中,配置了代理服务器地址的配置项,例如:
auth-api.rootUrl=http://192.168.11.55:8443/auth-api

#要改成:
auth-api.rootUrl=https://gov.bizpro.cn:8443/auth-api
weixin_44953227
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
nginx配置+https
12-10
nginx配置+https
nginx https 配置
11-23
里面 1.7.4 的nginx https配置 下载下来后 需要配置一下 nginx配置文件即可
nginx配置ssl证书实现https访问
热门推荐
YHJ
06-04 3万+
配置ssl证书之前,先准备SSL证书,至于获取的途径很多(阿里云的服务,第三方服务购买)。这里不详细解释。以下是我的SSL证书 准备好证书后,找到nginx的安装目录,我的安装位置为:/usr/local/nginx 进入 config/nginx.conf 如果没有装winscp(一款可视化文件操作工具)的。可以通过命令行的方式,编辑nginx的config文件。 开始配置文件的修改 在修改配置文件之前,最好做一个备份,防止修改错误,也能及时回退错误 1、找到第一个监听..
nginx配置https
恋上、小幸福的博客
08-10 604
现在你的 Nginx 配置HTTPS 支持。当访问你的域名时,Nginx 将使用 SSL/TLS 加密来处理连接。确保在浏览器中检查网站是否正常加载,并且浏览器显示了安全锁图标,表示连接是加密的。/path/to/your_domain.crt 和 /path/to/your_domain.key:替换为你的证书和私钥文件的路径。确保你的服务器防火墙允许入站和出站的 HTTPS 流量(通常是端口 443)。your_domain.com:你的域名或服务器 IP 地址。
2024年手把手教你Nginx 配置 HTTPS 完整过程_nginx htps,【工作感悟
最新发布
m0_60707263的博客
05-09 821
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Nginx配置https
mocoll的博客
03-04 1976
然后找到压缩包选择nginx的将这两个传到服务器中的conf目录下,当然,可以传到其他目录,只需要修改一下配置文件的路径就行。
Nginx 配置 SSLHTTPS)详解
小楼一夜听春雨,深巷明朝卖杏花
04-25 3261
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
Nginx配置https网站
CCH2024的专栏
03-02 4789
Nginx配置https网站
Nginx系列之支持SSL认证
qiaotl的博客
09-28 4357
通过实际例子演示方式介绍Nginx如何支持SSL认证
nginx图片服务器配置https配置
07-24
nginx图片服务器配置https配置
nginx配置https ssl 安全协议
12-05
nginx配置https ssl 安全协议nginx配置https ssl 安全协议
nginx配置https配置文件
08-03
配置https和负载均衡
nginx 跨域示例
07-20 388
网上找了好多资料,都不可用,这个是自测试可用的nginx 跨域示例 location /haos/ { proxy_pass http://localhost:8001/haos/; proxy_redirect off; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-For
nginx gzip 压缩配置
Blau的博客
08-08 943
nginx gzip 压缩配置 直接使用如下: gzip on; gzip_min_length 1k; # gzip_disable "msie6"; gzip_comp_level 4; gzip_buffers 4 16k; gzip_http_version 1.1; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss
Nginx 配置HTTPS域名证书
小P聊技术
02-01 532
1 生成普通证书 1.1 安装nginx 先到nginx官网下在nginx http://nginx.org/en/download.html 1.2 启动nginx 双击 启动服务 1.3 OpenSSL 下载OpenSSL http://slproweb.com/products/Win32OpenSSL.html 下载完成安装到 C:\OpenSSL-Win64 1.4 配置环境变量 计算机→属性→高级系统设置→高级→环境变量 系统变量→新建 OPENSSL_HOME 变量,值为 C
nginx和openssl版本升级操作手册
wszhm123的博客
08-03 1901
我们目前使用的是nginx1.20.2和openssl-1.0.2k。其中查看服务器上openssl的脚本名利是:openssl version -v/-a。这个时候可能会出现错误找不到libssl.so.1.1 和libcrypto.so.1.1。先在/usr/local/nginx/sbin/中执行cp nginx nginxb。如果显示已经存在/usr/bin/openssl,则只需要备份下。然后将备份文件的nginx复制过来。覆盖原来的,然后重新nginx即可。在/usr/bin目录下。
Centos6.5,安装nginx包含ssl模块,如果已经安装nginx配置即可
cxm19881208的专栏
03-14 1万+
使用https来访问,一般都需要用域名来访问(IP貌似也可以,我没有深入研究),既然是域名,我比较常用的是实用nginx来做代理,一般来说安装起来应该很简单,但是还是遇到了一些有些非正常的、让人觉得很蛋疼很sb的问题,在这里做一个记录。   安装nginx(支持https,即开启SSL模块),需要首先安装pcre、zlib、openssl;安装openssl看我的另一篇文章:安装openssl
ELK集群配置安全认证
你说亮不亮的博客
11-03 2618
一、生成证书 集群结构: hostname IP es1 192.168.1.5 es2 192.168.1.6 es3 192.168.1.7 kibana 192.168.1.8 logstash 192.168.1.15 1、创建ca证书 [elk@es1 elasticsearch]$ bin/elasticsearch-certutil ca ...... Please enter the desired output file [elastic-stack-c

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值