Nginx配置Https指南

前言

本文是对Nginx配置SSL证书的总结。

申请SSL证书

你可以从任何证书提供商处申请证书,这里以阿里云为例。

打开阿里云SSL证书控制台,点击购买证书

选择免费型一年期的证书,点击立即购买

注意,1年到期后别忘记重新申请证书!

支付

放心大胆的支付吧,不用钱!

验证SSL证书

购买完成之后,返回SSL证书控制台,你应该会看到刚才购买的证书。我们点击申请

填写域名(必须是你自己的或者有管理权的域名)和相关信息,完成后点击下一步。

注意,免费型证书只支持单个域名!例如你要为www.example.com申请证书,你必须填写www.example.com,而不能是example.com。

在DNS服务商处配置阿里云提供的验证信息。

例如DNSPod,填写主机记录,记录值和记录类型,然后点击保存。

耐心等待TTL刷新(一般为10分钟,也可能花不了10分钟)。

回到阿里云SSL证书申请页面,点击验证。

签发域名

验证通过后,证书提供商将会为你的域名颁发证书。在阿里云SSL证书控制台的已签发列表下可以找到你的域名对应的SSL证书。

下载证书

下载Nginx对应的SSL证书xx_nginx.zip,准备配置Nginx。

配置Nginx

如果你还没有安装Nginx,可以参考部署Nginx

上传证书

1
2
3
4
5
6
7
8
9
10
11
$ sudo mkdir /etc/nginx/certs
$ sudo cd /etc/nginx/certs
## 上传你的证书至此目录
$ sudo ls -l
drwxr-xr-x 2 root root 4096 Jul 24 17:15 ./
drwxr-xr-x 7 root root 4096 Jul 24 17:15 ../
-rw-r--r-- 1 root root 4053 Jul 24 16:49 xx_nginx.zip
$ sudo unzip xx_nginx.zip
$ sudo ls -l
-rw-r--r-- 1 root root 1679 Jul 24 16:48 xx.key ## ssl cert key
-rw-r--r-- 1 root root 3667 Jul 24 16:48 xx.pem ## ssl cert

一切准备就绪后,可以开始修改我们的Nginx配置文件了。

修改Nginx配置文件

将Http修改为Https非常简单,只需要修改一处内容,并添加若干代码。

  1. listen 80;修改为listen 443;
  2. server块中添加以下代码
1
2
3
4
5
ssl on;

ssl_certificate certs/xx.pem;
ssl_certificate_key certs/xx.key;
ssl_session_timeout 5m;

修改完成后,重启Nginx

1
2
$ sudo service nginx reload
$ sudo service nginx restart

好了,使用Https访问你的网站吧。

Http强制转向Https

注意,以上修改完成后,只能使用Https访问了,但是往往我们不希望用户使用Http访问的时候出现404的情况。那么,我们可以简单的将80端口的用户转发到443端口,来达到Http和Https共存的状态。

在Nginx配置文件中添加

1
2
3
4
5
6
server {
listen 80;
server_name xx.xx.com;

return 301 https://$server_name$request_uri;
}

重启Nginx