Nginx服务器安装阿里云SSL证书教程

Nginx配置SSL证书,大致分为5个步骤:

  • 步骤1:申请一张测试试用证书

  • 步骤2:下载证书并上传到服务器

  • 步骤3:在服务器配置证书

  • 步骤4(可选):配置HTTP强制跳转HTTPS

  • 步骤5:开放HTTPS访问及验证

下面开始我们的配置

步骤1:申请一张测试试用证书

打开阿里云控制台官网,搜索SSL,点击进入SSL证书(应用安全)

Nginx服务器安装阿里云SSL证书教程_第1张图片
选择左侧SSL证书,点击免费证书

Nginx服务器安装阿里云SSL证书教程_第2张图片
点击立即购买,会弹出右侧购买栏,选择DV单域名证书【免费试用】,点击下方购买

Nginx服务器安装阿里云SSL证书教程_第3张图片
由于该证书限制只能有一个,所以接下来的步骤只能靠你自己了。根据提示完成购买即可。

购买完成后,会提示你是否进行申请审核,根据提示信息完成审核,并自动解析DNS,下图是解析后的DNS记录
![在这里插入图片描述](https://img-blog.csdnimg.cn/9cf67bfbb2464a8bad3a00772ec7fdd8.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU29waGlh5pmo,size_20,color_FFFFFF,t_70,g_se,x_16#pic_center

步骤2:下载证书并上传到服务器

完成后,在SSL证书状态栏是已签发状态,此时,我们点击右侧下载按钮,弹出下载页面

在这里插入图片描述
选择Nginx版本,下载

Nginx服务器安装阿里云SSL证书教程_第4张图片
下载完成后是一个以编号和域名的命名的zip文件,之后进行解压

Nginx服务器安装阿里云SSL证书教程_第5张图片Nginx服务器安装阿里云SSL证书教程_第6张图片
解压完成后可重命名成你想要的名称,注意这两个文件的后缀分别是.key .pem

接下来,做Nginx中的准备工作,打开Xshell,或者其他工具,连接到云服务器

# 进入到Nginx服务器的conf目录中(根据你自己的Nginx安装目录)
[root@clover ~]# cd /usr/local/application/server/nginx/conf/
# 新建cert文件夹,用于存放证书文件
[root@clover conf]# mkdir cert
# 进入cert目录
[root@clover conf]# cd cert

打开xftp,将下载好的证书文件上传到cert文件夹中,我在上传前把文件名称改成了我设定的了

在这里插入图片描述
上传完成后,查看cert文件夹,确保已完成上传

Nginx服务器安装阿里云SSL证书教程_第7张图片

步骤3:在服务器配置证书

进行Nginx配置文件的配置

#退到conf文件夹中
[root@clover cert]# cd ..
[root@clover conf]#
 #建议先copy一份原来的nginx.conf文件
[root@clover conf]# cp nginx.conf ./ nginx-copy.conf
 #修改nginx.conf配置文件
[root@clover conf]# vim nginx.conf
 #按i键进入编辑模式。
 #在配置文件中定位到HTTP协议代码片段(http{}),并在HTTP协议代码里面添加以下server配置(如果server配置已存在,按照以下注释内容修改相应配置即可)。

以下属性中,以ssl开头的属性表示与证书配置有关。

#server 是在http {} 片段里面的哦!
server {
     
    listen 443 ssl;
    #配置HTTPS的默认访问端口为443。
    #如果未在此处配置HTTPS的默认访问端口,可能会造成Nginx无法启动。
    #如果您使用Nginx 1.15.0及以上版本,请使用listen 443 ssl代替listen 443和ssl on。
    #需要将clover.fit替换成证书绑定的域名(你的域名)。
    server_name clover.fit; 
    # dist是我配置的静态资源访问的路径,如果你没有修改,你的应该是html文件夹
    root dist; 
    index index.html index.htm;
    #需要将clover.pem替换成已上传的证书文件的名称(就是你上传的那两个文件名称)。
    ssl_certificate cert/clover.pem;  
    #需要将clover.key替换成已上传的证书密钥文件的名称(同上)。
    ssl_certificate_key cert/clover.key; 
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    #表示使用的加密套件的类型。
    ssl_protocols TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型。
    ssl_prefer_server_ciphers on;
    location / {
     
        root dist;  #站点目录。
        index index.html index.htm;
    }
}

步骤4(可选):配置HTTP强制跳转HTTPS

如果您希望所有的HTTP访问自动跳转到HTTPS页面,则可以在需要跳转的HTTP站点下添加以下rewrite语句。

server {
     
        listen 80;
        #需要将clover替换成证书绑定的域名。
        server_name clover.fit; 
        # 将所有HTTP请求通过rewrite指令重定向到HTTPS。
        rewrite ^(.*)$ https://$host$1; 
        location / {
     
            index index.html index.htm;
        }
    }

最后,贴上http片段中的完整代码

http {
     
    include       mime.types;
    default_type  application/octet-stream;
    
    sendfile        on;
    
    keepalive_timeout  65;

    server {
     
        listen 80;
        #需要将clover.fit替换成证书绑定的域名。
        server_name clover.fit; 
        #将所有HTTP请求通过rewrite指令重定向到HTTPS。
        rewrite ^(.*)$ https://$host$1; 
        location / {
     
            index index.html index.htm;
        }
    }
server {
     
        listen       443 ssl;
        server_name  www.clover.fit;

        root dist;
        index index.html index.htm;

        ssl_certificate cert/clover.pem;
        ssl_certificate_key cert/clover.key;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        #表示使用的加密套件的类型。
        ssl_protocols  TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型。
        ssl_prefer_server_ciphers on;

        location / {
     
            root   dist;
            index  index.html index.htm;
        }
    }
}

修改完成后,按Esc 键、输入 :wq!并按Enter 键,保存修改后的配置文件并退出编辑模式。

执行以下命令,重启Nginx服务。

[root@clover conf]# cd ../
[root@clover nginx]# cd sbin/ #进入Nginx服务的可执行目录。
[root@clover sbin]# ./nginx -s reload  #重新载入配置文件。
#查看nginx是否正在运行,若正在运行,则kill掉
[root@clover sbin]# ps -ef | grep nginx
root     18222     1  0 14:53 ?        00:00:00 nginx: master process ./nginx
nobody   23728 18222  0 16:39 ?        00:00:00 nginx: worker process
root     23737 22684  0 16:39 pts/3    00:00:00 grep --color=auto nginx
#此时表示nginx正在运行,使用kill 命令kill掉
[root@clover sbin]# kill -9 18222
[root@clover sbin]# kill -9 23728
#再次查看
[root@clover sbin]# ps -ef | grep nginx
root     23737 22684  0 16:39 pts/3    00:00:00 grep --color=auto nginx
#使用./nginx 启动nginx
[root@clover sbin]# ./nginx 
  • 注意:
    如果重启Nginx服务时收到报错,您可以使用以下方法进行排查:

  • 收到the "ssl" parameter requires ngx_http_ssl_module报错:您需要重新编译Nginx并在编译安装的时候加上--with-http_ssl_module配置。

  • 收到"/cert/3970497_pic.certificatestests.com.pem":BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/cert/3970497_pic.certificatestests.com.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)报错:您需要去掉证书相对路径最前面的/。例如,您需要去掉/cert/cert-file-name.pem最前面的/,使用正确的相对路径cert/cert-file-name.pem

步骤5:开放HTTPS访问及验证

验证证书是否安装成功。
在验证的过程中,你可能会遇到无法访问,此时,你需要想想,你的服务器安全组是否开放了80和443端口,如果没有开放,需要去服务器控制台进行开发。

Nginx服务器安装阿里云SSL证书教程_第8张图片Nginx服务器安装阿里云SSL证书教程_第9张图片
点击手动添加,进行添加443端口

Nginx服务器安装阿里云SSL证书教程_第10张图片
此时,如果你的服务器(我的是CentOS7.6)防火墙开启了,也要放开80和443端口,如果没开启,就不用看这一步

#查看防火墙状态
[root@clover root]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2021-09-22 19:51:54 CST; 2 weeks 1 days ago
     Docs: man:firewalld(1)
 Main PID: 12517 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─12517 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Sep 22 19:51:53 clover systemd[1]: Starting firewalld - dynamic firewall daemon...
Sep 22 19:51:54 clover systemd[1]: Started firewalld - dynamic firewall daemon.
#此时就代表防火墙开启了

#查看已开放的端口
[root@clover root]# firewall-cmd --list-ports
80/tcp 8080/tcp 3306/tcp 22/tcp 6379/tcp 1001/tcp 1002/tcp 443/tcp
#我的80和443都已经开放了,如果你的没有开放,执行下面的命令
[root@clover root]# firewall-cmd --zone=public --add-port=80/tcp --permanent
[root@clover root]# firewall-cmd --zone=public --add-port=443/tcp --permanent
#重新载入防火墙,2种方式
[root@clover root]# firewall-cmd --reload
[root@clover root]# systemctl restart firewalld

此时,再进行验证

证书安装完成后,您可通过访问证书的绑定域名验证该证书是否安装成功。

https://www.clover.fit   #需要将www.clover.fit替换成证书绑定的域名。

如果网页地址栏出现小锁标志,表示证书已经安装成功。

不同类型证书安装成功后的效果不同,具体如下:

  • DV SSL、OV SSL数字证书部署在服务器上后,您的浏览器访问网站时,将会展示以下效果。DV/OV证书安装效果图
  • EV SSL数字证书部署在服务器上后,您的浏览器访问网站时,将会展示以下效果。Nginx服务器安装阿里云SSL证书教程_第11张图片
    如果验证时出现访问异常,请参照下表进行排查。
异常现象 可能原因 处理方法
通过HTTPS无法正常访问您的网站。 安装证书的Nginx服务器的443端口未开放或被其他工具拦截。 1.如果您使用的是阿里云ECS服务器,请前往ECS管理控制台的安全组页面,配置开放443端口。关于如何配置安全组,请参见添加安全组规则。
2.如果您使用的不是阿里云ECS服务器,请参照对应的服务器安全设置指南,配置开放服务器的443端口。
收到网站提示“您与网站之间的连接未完全安全”。 您的网站代码中调用的是HTTP协议。 您需要在网站代码中把HTTP协议修改为HTTPS协议。
收到网站提示“该网站未根据工信部相关法律进行备案”。 1.您的网站未完成备案,未在接入商处完成备案接入。
2.您的网站内容与备案信息不符、备案信息不准确、网站存在不适宜传播的内容等。
1.如果您使用的是阿里ICP云备案系统,请前往阿里云备案系统进行网站备案。
2.如果您使用的不是阿里云ICP备案系统,请前往备案服务商的系统进行网站备案。

结束

到这里,Nginx配置SSL证书就结束了!

你可能感兴趣的