先來(lái)張圖~
如果你使用了nginx作為反向代理,那么本文可以教你如何將https配置在nginx,這樣即使你的后端服務(wù)是http也完全沒(méi)有問(wèn)題.
一赖歌、我們需要什么證書(shū)
之前寫(xiě)過(guò)一篇《tomcat https配置方法(免費(fèi)證書(shū))》的簡(jiǎn)書(shū)(想看的可以去我的主頁(yè)里面看下,這兩篇之間還是有許多相關(guān)聯(lián)的知識(shí)的~),里面有提到過(guò)常用證書(shū)的分類,其中nginx使用的就是PEM格式的證書(shū),我們將其拆分開(kāi)就是需要兩個(gè)文件,一個(gè)是.key文件,一個(gè)是.crt文件.
二驰弄、怎樣獲取免費(fèi)證書(shū)
這里提供兩個(gè)方法:
第一種:如果你是windows用戶,且有.keystore格式的證書(shū)
那么你可以使用JKS2PFX轉(zhuǎn)換工具,將你的keystore證書(shū)轉(zhuǎn)換為PEM證書(shū),操作方法為:cd到工具目錄,然后運(yùn)行命令:
$ JKS2PFX <KeyStore文件> <KeyStore密碼> <Alias別名> <導(dǎo)出文件名>
第二種:如果你是Linux或者OSX系統(tǒng)
- 生成秘鑰key,運(yùn)行:
$ openssl genrsa -des3 -out server.key 2048
會(huì)有兩次要求輸入密碼,輸入同一個(gè)即可
輸入密碼
然后你就獲得了一個(gè)server.key文件.
以后使用此文件(通過(guò)openssl提供的命令或API)可能經(jīng)趁峁悖回要求輸入密碼,如果想去除輸入密碼的步驟可以使用以下命令:
$ openssl rsa -in server.key -out server.key
- 創(chuàng)建服務(wù)器證書(shū)的申請(qǐng)文件server.csr,運(yùn)行:
openssl req -new -key server.key -out server.csr
image
其中Country Name填CN,Common Name填主機(jī)名也可以不填,如果不填瀏覽器會(huì)認(rèn)為不安全.(例如你以后的url為https://abcd/xxxx....這里就可以填abcd),其他的都可以不填.
- 創(chuàng)建CA證書(shū):
openssl req -new -x509 -key server.key -out ca.crt -days 3650
此時(shí),你可以得到一個(gè)ca.crt的證書(shū),這個(gè)證書(shū)用來(lái)給自己的證書(shū)簽名.
- 創(chuàng)建自當(dāng)前日期起有效期為期十年的服務(wù)器證書(shū)server.crt:
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
- ls你的文件夾,可以看到一共生成了5個(gè)文件:
ca.crt ca.srl server.crt server.csr server.key
其中,server.crt和server.key就是你的nginx需要的證書(shū)文件.
三、如何配置nginx
- 打開(kāi)你的nginx配置文件,搜索443找到https的配置,去掉這段代碼的注釋.或者直接復(fù)制我下面的這段配置:
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /root/Lee/keys/server.crt;#配置證書(shū)位置
ssl_certificate_key /root/Lee/keys/server.key;#配置秘鑰位置
#ssl_client_certificate ca.crt;#雙向認(rèn)證
#ssl_verify_client on; #雙向認(rèn)證
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
- 將
ssl_certificate改為server.crt的路徑,將ssl_certificate_key改為server.key的路徑. - nginx -s reload 重載配置
至此,nginx的https就可以使用了,默認(rèn)443端口.
