« 上一篇下一篇 »

Nginx中安装SSL自签名证书的方法

    Nginx 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。

     Nginx 可以在大多数 UnixLinux OS 上编译运行,并有 Windows 移植版。 Nginx 的1.4.0稳定版已经于2013年4月24日发布,一般情况下,对于新建站点,建议使用最新稳定版作为生产版本,已有站点的升级急迫性不高。Nginx 的源代码使用 2-clause BSD-like license。

Nginx 是一个很强大的高性能Web和反向代理服务器,它具有很多非常优越的特性:
在连接高并发的情况下,Nginx是Apache服务器不错的替代品:Nginx在美国是做虚拟主机生意的老板们经常选择的软件平台之一。能够支持高达 50,000 个并发连接数的响应,感谢Nginx为我们选择了 epoll and kqueue作为开发模型。下面让我们来看下如何在Nginx配置SSL自签名证书

  生成自签名SSL证书

生成RSA密钥(过程需要设置一个密码,记住这个密码)

1
$ openssl genrsa -des3 -out domain.key 1024

拷贝一个不需要输入密码的密钥文件

1
$ openssl rsa -in domain.key -out domain_nopass.key

生成一个证书请求

1
$ openssl req -new -key domain.key -out domain.csr

这里会提示输入国家,地区组织,email等信息.最重要的一个是"common name",需要与网站域名相同.

1
2
3
4
5
6
7
8
9
10
11
Enter pass phrase for domain.key:              # 之前设置的密码
-----
Country Name (2 letter code) [XX]:CN            # 国家
State or Province Name (full name) []:Jilin         # 地区或省份
Locality Name (eg, city) [Default City]:Changchun      # 地区局部名
Organization Name (eg, company) [Default Company Ltd]:Python # 机构名称
Organizational Unit Name (eg, section) []:Python      # 组织单位名称
Common Name (eg, your name or your server's hostname) []:domain.com # 网站域名
Email Address []:123@domain.com               # 邮箱
A challenge password []:                  # 私钥保护密码,可直接回车
An optional company name []:                # 一个可选公司名称,可直接回车

输入完这些就会生成一个domain.csr文件,提交给ssl提供商的时候就是这个csr文件.当然这里并没有向任何证书提供商申请,而是自己签发证书.

使用上面的密钥和CSR对证书签名

1
$ openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt

Nginx下ssl配置方法

检测nginx是否支持SSL:

1
$ nginx -V

如果有显示-with-http_ssl_module表示已编译openssl,支持安装ssl.

如果没有,请重新编译安装nginx

1
2
$ ./ configure --with-http_ssl_module --with-http_stub_status_module
$ make & make install

配置文件:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
server {
 listen 80;
 listen 443 ssl;        # 监听443端口, 开启ssl(必须)
 server_name domain.com;
 
 # ssl on;   # 不建议使用! 该指令与listen中ssl参数功能相同.
 # 引用ssl证书(必须,如果放在nginx/conf/ssl下可以用相对路径,其他位置必须用绝对路径)
 ssl_certificate   /home/user/domain.com/conf/ssl/domain.crt;
 ssl_certificate_key /home/user/domain.com/conf/ssl/domain_nopass.key;
 # 协议优化(可选,优化https协议,增强安全性)
 ssl_protocols    TLSv1 TLSv1.1 TLSv1.2
 ssl_ciphers     ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
 ssl_prefer_server_ciphers on;
 ssl_session_cache  shared:SSL:10m;
 ssl_session_timeout 10m;
 # 自动跳转到HTTPS
 if ($server_port = 80) {
   rewrite ^(.*)$ https://$host$1 permanent;
 }
 # 其他配置信息...
}

配置完成后检查niginx配置文件是否可用:

1
$ nginx -t # 检查nginx配置文件

successful后重新加载配置文件使配置生效:

1
$ nginx -s reload

注:记得开启防火墙的443端口 firewall-cmd --zone=public --add_port=443/tcp permanent

注:我使用的nginx+uwsgi部署,这种情况还需要重启下uwsgi,否则无法访问 uwsgi --reload ./tmp/uwsgi.