nginx安装http_ssl_module配置https

喜欢ヅ旅行 2022-12-29 14:27 529阅读 0赞

分两步：

第一步升级nginx，需要查看是否安装了ssl模块

1.**查看 nginx 是否安装 http\_ssl\_module**** ****模块**

/usr/local/nginx/sbin/nginx -V

2.**下载 nginx 安装包, nginx官网1.14.1稳定版本tar.gz包。**

wget wget [http://nginx.org/download/nginx-1.14.1.tar.gz][http_nginx.org_download_nginx-1.14.1.tar.gz]

3.解压安装包

tar -zxvf nginx-1.14.1.tar.gz

4.配置 ssl 模块

cd nginx-1.14.1

./configure --prefix=/usr/local/nginx-1.14.1 --with-http\_ssl\_module

5.使用 make 命令编译（使用make install会重新安装nginx），此时当前目录会出现 objs 文件夹。

用新的 nginx 文件覆盖当前的 nginx 文件（nginx服务停止状态才能覆盖，可以考虑先把/usr/local/nginx/sbin/下面得nginx删掉）

cp ./objs/nginx /usr/local/nginx/sbin/

第二步生成证书

**Linux****系统下生成证书**

生成秘钥key,运行:

$ **openssl genrsa -des3 -out server.key 2048**

会有两次要求输入密码,输入同一个即可

输入密码

然后你就获得了一个server.key文件.

以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令:

$ **openssl rsa -in server.key -out server.key**

创建服务器证书的申请文件server.csr,运行:

openssl req -new -key server.key -out server.csr

其中Country Name填CN,Common Name填主机名也可以不填,如果不填浏览器会认为不安全.(例如你以后的url为https://abcd/xxxx….这里就可以填abcd),其他的都可以不填.

创建CA证书:

**openssl req -new -x509 -key server.key -out ca.crt -days 3650**

此时,你可以得到一个ca.crt的证书,这个证书用来给自己的证书签名.

创建自当前日期起有效期为期十年的服务器证书server.crt：

**openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt**

ls你的文件夹,可以看到一共生成了5个文件:

**ca.crt **  **ca.srl **  ** server.crt   server.csr**   **server.key**

其中,server.crt和server.key就是你的nginx需要的证书文件.

三、如何配置nginx

打开你的nginx配置文件,搜索443找到https的配置,去掉这段代码的注释.或者直接复制我下面的这段配置:

server \{

listen 443;

server\_name localhost;

ssl on;

**ssl\_certificate /root/Lee/keys/server.crt;\#****配置证书位置**

**ssl\_certificate\_key /root/Lee/keys/server.key;\#****配置秘钥位置**

\#ssl\_client\_certificate ca.crt;\#双向认证

\#ssl\_verify\_client on; \#双向认证

ssl\_session\_timeout 5m;

ssl\_protocols SSLv2 SSLv3 TLSv1;

ssl\_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

ssl\_prefer\_server\_ciphers on;

将ssl\_certificate改为server.crt的路径,将ssl\_certificate\_key改为server.key的路径.

nginx -s reload 重载配置

至此,nginx的https就可以使用了,默认443端口.

如果出现报错信息：

nginx: \[emerg\] BIO\_new\_file("/user/local/nginx/temp/server.crt") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/user/local/nginx/temp/server.crt','r') error:2006D080:BIO routines:BIO\_new\_file:no such file)

把server.crt 和server.key 文件放在nginx/conf文件夹下。(和nginx.conf文件同一文件夹)

ssl\_certificate  server.crt;

ssl\_certificate\_key  server.key;

SSL\_CTX\_use\_PrivateKey\_file("/sunmnet/keys/server.key") failed (SSL: error:0906406D:PEM routines:PEM\_def\_callback:problems getting password error:0906A068:PEM routines:PEM\_do\_header:bad password read error:140B0009:SSL routines:SSL\_CTX\_use\_PrivateKey\_file:PEM lib)

需要修改server.key 编码

Vi server.key

:set fileencoding=cp936

: wq! 保存退出

[http_nginx.org_download_nginx-1.14.1.tar.gz]: http://nginx.org/download/nginx-1.14.1.tar.gz