概述
公司的做的平台项目越来越多,急切的需要把文件服务独立出来做成公共服务,供各个项目使用,所以就需要配置文件服务器了。
openssl生成SSL证书的流程
下载openssl https://www.openssl.org/source/
- 生成key 和scr证书 ,在openssl根目录执行:
openssl req -new -newkey rsa:2048 -sha256 -nodes -out server.csr -keyout server.key -subj "/C=CN/ST=ShenZhen/L=ShenZhen/O=Example Inc./OU=Web Security/CN=example.com"
- 用key和scr生成证书(.crt) ,在openssl根目录执行:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
2.nginx安装openssl模块(nginx已经安装没有安装openssl模块)
- 查看nginx原有的模块/usr/local/nginx/sbin/nginx -V :会显示在–prefix=/usr/local/nginx --with-http_stub_status_module
- 进入nginx源码包目录,运行 :./configure --prefix=/usr/local/nginx --with-http_stub_status_module –with-http_ssl_module
- 配置完成后,运行命令make命令: make
- 替换已安装好的nginx包: cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
- 将nginx源码包中生成objs里的nginx拷贝到sbin: cp ./objs/nginx /usr/local/nginx/sbin/
- 然后启动nginx,仍可以通过命令查看是否已经加入成功: /usr/local/nginx/sbin/nginx -V
- 此时应该显示为即配置成功: configure arguments: --prefix=/usr/local/nginx --with-http_stub_status_module –with-http_ssl_module
3.nginx配置文件
将openssl生成的证书放到指定的位置备用,添加一个server
server
{
listen 4443 ssl;
server_name localhost;
#ssl off;
#root /usr/share/nginx/html;
#index index.html index.htm;
charset utf-8;
#ssl_certificate /etc/nginx/ssl/nginx.crt;
#ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_certificate /usr/local/nginx/ca/server/server.crt;
ssl_certificate_key /usr/local/nginx/ca/server/server.key;
# ssl_client_certificate /usr/local/nginx/ca/private/ca.crt;
# ssl_verify_client on;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location ~ .*\.(gif|jpg|jpeg|png)$ {
expires 24h;
root /home/share/test/;#指定图片存放路径
proxy_store on;
proxy_store_access user:rw group:rw all:rw;
proxy_temp_path /home/share/test;#图片访问路径
proxy_redirect off;
proxy_set_header Host 127.0.0.1;
client_max_body_size 10m;
client_body_buffer_size 1280k;
proxy_connect_timeout 900;
proxy_send_timeout 900;
proxy_read_timeout 900;
proxy_buffer_size 40k;
proxy_buffers 40 320k;
proxy_busy_buffers_size 640k;
proxy_temp_file_write_size 640k;
if ( !-e $request_filename)
{
# proxy_pass http://127.0.0.1:82;#默认80端口
}
}
}
4. 问题与注意
-
如果在sbin下面执行 ./nginx -V 和 nginx -V显示的结果不一致 :那就把sbin下面的nginx拷贝到/usr/sbin/下面
-
错误提示./configure: error: SSL modules require the OpenSSL library :
解决方法:
Centos需要安装openssl-devel
Ubuntu则需要安装:sudo apt-get install libssl-dev -
https获取文件服务器路径403 :文件服务目录和文件权限不够,如果是web项目生成的文件目录权限不够,可能是tomcat版本引起的
检查tomcat
打开bin/catalina.sh文件,检查大概在263行左右。
将0027改改为0022,重启tomcat,上传访问的问题解决。
if [ -z "$UMASK" ]; then
UMASK="0027"
fi
if [ -z "$UMASK" ]; then
UMASK="0022"
fi