第一步:簽署第三方可信任的 SSL 證書
證書可以直接在阿里云里面申請免費的ssl證書
登錄阿里云賬號,在上方搜索欄內(nèi)搜索ssl夹抗,點擊ssl證書(應(yīng)用安全)
來到這個頁面后點擊購買證書
如圖選擇免費版ssl證書唧瘾,點擊支付
支付完成后跳轉(zhuǎn)到控制臺首頁拯欧,點擊證書申請
填寫完證書申請表單之后點擊下一步
點擊驗證顯示驗證成功后再提交審核
審核通過后點擊下載按鈕
選擇nginx旁邊的下載
下載解壓后得到一個.key和.pem文件,到這里嗤放,我們的證書申請工作已經(jīng)做完了档悠,下面可以開始配置https了
第二步:配置https
1廊鸥、centos如何安裝nginx可以參考這篇博文:https://segmentfault.com/a/1190000018109309
2、安裝完畢后站粟,找到nginx.conf所在的目錄黍图,我這里的目錄為:/etc/nginx
3、在此目錄里面新建一個文件夾cert奴烙,用來存放密匙文件
4助被、點擊nginx.conf,配置ssl切诀,注意揩环,我這里是1.16版本的nginx,1.15之前的配置和這個不一樣7恰丰滑!下面是我的配置:
server {
listen 443 ssl http2; #配置HTTPS的默認(rèn)訪問端口號為443。此處如果未配置HTTPS的默認(rèn)訪問端口倒庵,可能會造成Nginx無法啟動褒墨。Nginx 1.15.0以上版本請使用listen 443 ssl代替listen 443和ssl on。
server_name www.example.xyz; #將www.certificatestests.com修改為您證書綁定的域名擎宝,例如:www.example.com郁妈。如果您購買的是通配符域名證書,要修改為通配符域名绍申,例如:*.aliyun.com噩咪。
root html;
index index.html index.htm;
ssl_certificate cert/cert.pem; #將domain name.pem替換成您證書的文件名稱。
ssl_certificate_key cert/cert.key; #將domain name.key替換成您證書的密鑰文件名稱极阅。
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #使用此加密套件胃碾。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #使用該協(xié)議進行配置。
ssl_prefer_server_ciphers on;
}
如果是1.15之前的nginx版本的話筋搏,應(yīng)該這樣配置:
listen 443; #配置HTTPS的默認(rèn)訪問端口號為443仆百。此處如果未配置HTTPS的默認(rèn)訪問端口,可能會造成Nginx無法啟動奔脐。Nginx 1.15.0以上版本請使用listen 443 ssl代替listen 443和ssl on儒旬。
server_name www.example.xyz; #將www.certificatestests.com修改為您證書綁定的域名栏账,例如:www.example.com。如果您購買的是通配符域名證書栈源,要修改為通配符域名,例如:*.aliyun.com竖般。
root html;
ssl on;
index index.html index.htm;
ssl_certificate cert/cert.pem; #將domain name.pem替換成您證書的文件名稱甚垦。
ssl_certificate_key cert/cert.key; #將domain name.key替換成您證書的密鑰文件名稱。
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #使用此加密套件涣雕。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #使用該協(xié)議進行配置艰亮。
ssl_prefer_server_ciphers on;
}
5、配置反向代理挣郭,讓默認(rèn)端口(一般是80)代理我們項目的端口8080迄埃,也就是說我們可以通過訪問80端口來達到訪問8080端口的效果,下面是配置的443端口(即https默認(rèn)訪問端口號)的反向代理:
server {
listen 443 ssl http2; #配置HTTPS的默認(rèn)訪問端口號為443兑障。此處如果未配置HTTPS的默認(rèn)訪問端口侄非,可能會造成Nginx無法啟動。Nginx 1.15.0以上版本請使用listen 443 ssl代替listen 443和ssl on流译。
server_name www.example.xyz; #將www.certificatestests.com修改為您證書綁定的域名逞怨,例如:www.example.com。如果您購買的是通配符域名證書福澡,要修改為通配符域名叠赦,例如:*.aliyun.com。
root html;
index index.html index.htm;
ssl_certificate cert/cert.pem; #將domain name.pem替換成您證書的文件名稱革砸。
ssl_certificate_key cert/cert.key; #將domain name.key替換成您證書的密鑰文件名稱除秀。
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #使用此加密套件。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #使用該協(xié)議進行配置算利。
ssl_prefer_server_ciphers on;
#下面是反向代理的配置
location / {
proxy_pass http://ip:8080; #ip寫你自己服務(wù)器的ip
}
}
配置完后保存册踩,然后重啟nginx
nginx -s reload
sudo systemctl restart nginx
然后再查看防火墻是否打開,一般是關(guān)閉的笔时,關(guān)閉的話就不需要打開了棍好。如果是打開狀態(tài)的話就開啟服務(wù)器的默認(rèn)端口(一般是80)和443端口
然后如果是云服務(wù)器的話還需要配置安全組,打開服務(wù)器管理控制臺允耿,點擊本地實例安全組
點擊手動添加或者快速添加借笙,添加默認(rèn)端口80和443端口進來,保存
下面就是配置域名解析了较锡,來到域名控制臺业稼,點擊解析
點擊添加記錄
然后把你的服務(wù)器的公網(wǎng)ip地址解析進來,點擊確認(rèn)
解析完畢后等10分鐘差不多就可以去訪問域名了蚂蕴,訪問項目的swagger文檔低散,可以看見已經(jīng)變成https了(這里需要手動敲https才行)
可以看到成功訪問項目
