先上官方帮助文档压压惊,传送门: 云盾证书服务(包年)-购买-阿里云
1. 申请免费的https证书
2. 下载nginx专属https证书
控制台->SSL 证书(应用安全)->下载->nginx
3. 上传到服务器
参考地址: /usr/local/nginx/conf/cert
4. 配置nginx.conf文件
阿里云ESC默认有配置https,放开注释即可,以下仅供参考
具体参数说明可自行百度,修改完用 nginx -t 检查,显示successful即可
server {
listen 443 ssl;
server_name ***.***; # 域名, 不带http
ssl on; #设置为on启用SSL功能。
ssl_certificate cert/**.**.pem; # https证书
ssl_certificate_key cert/**.**.key; # https证书
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://127.0.0.1:6688;
#root html;
}
}
5. 开放证书端口
依次检查安全组规则、iptables(白名单)、firewall(防火墙)
iptables: 默认位置 /etc/sysconfig/iptables (楼主Centor OS7, ip6tables)
参考配置如下,注意,开放端口最好添加在-A INPUT -j REJECT --reject-with icmp6-adm-prohibited之后,可采用; netstat -anp 命令查看防火墙开放端口
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443-j ACCEPT
-A INPUT -m state --state NEW -m tcp -p -dport 3306 -j ACCEPT
-A INPUT -d fe80::/64 -p udp -m udp --dport 546 -m state --state NEW -j ACCEPT
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
firewall-cmd --zone=public--add-port=443/tcp --permanentfirewall常用命令参考: https://www.cnblogs.com/huizhipeng/p/10127333.html
6. 跑起来
- 第一回合
nginx: [error] invalid PID number “” in “/usr/local/var/run/nginx/nginx.pid”
解决办法 nginx -c /usr/local/etc/nginx/nginx.conf nginx -s reload
- 第二回合
nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:37
解决办法: 开启SSL模块,解决方案参考 https://www.cnblogs.com/ghjbk/p/6744131.html
备注 配置信息 ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module 缺少s,小伙伴们可自行百度正确写法
7. 浏览器网址进行验证 :)
本教程仅供参考,如有出入请自行百度,PS:1024祝各位小伙伴们节日快乐 O.o
