1. 申请SSL证书,并上传至服务器 /usr/local/nginx/conf 目录下
文件夹内容:
ochaly.com_bundle.crt证书文件ochaly.com_bundle.pem证书文件ochaly.com.key私钥文件ochaly.com.csrCSR 文件
CSR 文件是申请证书时由您上传或系统在线生成的,提供给 CA 机构。安装时可忽略该文件。
2. 编辑 Nginx 根目录下的 conf/nginx.conf 文件
vim /usr/local/nginx/conf/nginx.conf
添加如下内容:
server {
# SSL 访问端口号为 443
listen 443 ssl;
# 填写绑定证书的域名
server_name ochaly.com;
# 证书文件名称
ssl_certificate ochaly.com_bundle.crt;
# 私钥文件名称
ssl_certificate_key ochaly.com.key;
ssl_session_timeout 5m;
# 请按照以下协议配置
ssl_protocols TLSv1.2 TLSv1.3;
# 请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
location / {
# 网站主页路径。此路径仅供参考,具体请您按照实际目录操作。
# 例如,您的网站运行目录在/etc/www下,则填写/etc/www。
root html;
index index.html index.htm;
}
}
3. 在 Nginx 根目录下,通过执行以下命令验证配置文件问题
./sbin/nginx -t
- 若存在,请您重新配置或者根据提示修改存在问题。
- 若不存在,请执行步骤4。
4. 重启 Nginx,即可使用 https://www.ochaly.com 进行访问
补充:HTTP 自动跳转 HTTPS 的安全配置
Nginx 支持 rewrite 功能。若您在编译时没有去掉 pcre,您可在 HTTP 的 server 中增加
return 301 https://$host$request_uri;,即可将默认80端口的请求重定向为 HTTPS。
1. 添加如下内容
server {
listen 80;
#填写绑定证书的域名
server_name ochaly.com;
#把http的域名请求转成https
return 301 https://$host$request_uri;
}
2. 重启 Nginx
./nginx -s reload
评论区