liunx nginx配置ssl 配置https 及访问失败问题排查（fopen:No such file or ）（[emerg] the “ssl“ parameter requires）-蒲公英云

liunx nginx配置ssl 配置https 及访问失败问题排查

liunx nginx配置ssl 配置https 及访问失败问题排查
- 一、提前准备
- - 1.ssl证书下载
  - 2.将ssl证书文件拷贝至服务器
  - 3.检查有没有ssl插件(nginx -V 中V大写)
  - - 3.1如果没有ssl插件就要切换到nginx安装包目录执行命令了
- 二、修改nginx配置
- - 1.编辑 Nginx 根目录下的 nginx.conf 文件。修改内
  - - 1.1带注释版
    - 1.2不带注释版【可能粘贴的时候注释会导致格式错误】
  - 2.通过执行以下命令验证配置文件问题。
  - 1. 通过执行以下命令重载 Nginx。
  - 1. 重载成功，即可使用 https://cloud.tencent.com 进行访问。（自己的域名）
- 三、可能遇到的问题及解决方案
- - 1.找不到文件
  - 2.没有ssl插件
  - 3.端口号问题【配置正常没有报错，https却访问不了】
  - - 3.1服务器内防火墙端口是否打开
    - 3.2.云服务器端口是否开发
  - 4.http如何自动跳转https
  - 5如果nginx不能在全局使用的话可以拷贝到/bin
- 参考链接

一、提前准备

1.ssl证书下载

在这里插入图片描述
比如腾讯云下载目录：

首先在网址（阿里云、腾讯云等）找到域名ssl下载，下载后解压里面有xxx.yey、xxx.pem、xxx.crt等文件
在服务器nginx配置里新建个文件夹,如我的nginx 在 /usr/local/nginx这个目录

cd  /usr/local/nginx/conf
mkdir cert

2.将ssl证书文件拷贝至服务器

如：

scp wys.cn.pem root@127.0.0.1:/usr/local/nginx/conf/cert
scp wys.cn.key root@127.0.0.1:/usr/local/nginx/conf/cert
scp wys.cn.crt root@127.0.0.1:/usr/local/nginx/conf/cert
·······

3.检查有没有ssl插件(nginx -V 中V大写)

nginx -V

查询结果：

----有ssl插件
nginx version: nginx/1.13.7
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --with-http_ssl_module
-----没有ssl插件
nginx version: nginx/1.13.7
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)
configure arguments:

3.1如果没有ssl插件就要切换到nginx安装包目录执行命令了

【如果不是root用户执行命令前加sudo ，如sudo cd xxx】
先备份nginx启动文件

cd /usr/local/nginx/sbin/
cp nginx nginx.bak

再添加插件重新编译nginx启动文件【make 不能是make install，会覆盖之前的配置】
然后拷贝新文件

cd /xxx/nginx-1.13.7
 ./configure --with-http_ssl_module
make
cp objs/nginx  /usr/local/nginx/sbin/

二、修改nginx配置

1.编辑 Nginx 根目录下的 nginx.conf 文件。修改内

容如下：

1.1带注释版

server {
     #SSL 默认访问端口号为 443
     listen 443 ssl; 
     #请填写绑定证书的域名
     server_name cloud.tencent.com; 
     #请填写证书文件的相对路径或绝对路径
     ssl_certificate cloud.tencent.com_bundle.crt; 
     #请填写私钥文件的相对路径或绝对路径
     ssl_certificate_key cloud.tencent.com.key; 
     ssl_session_timeout 5m;
     #请按照以下协议配置
     ssl_protocols TLSv1.2 TLSv1.3; 
     #请按照以下套件配置，配置加密套件，写法遵循 openssl 标准。
     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
     ssl_prefer_server_ciphers on;
     location / {
         #网站主页路径。此路径仅供参考，具体请您按照实际目录操作。
         #例如，您的网站主页在 Nginx 服务器的 /etc/www 目录下，则请修改 root 后面的 html 为 /etc/www。
         root html; 
         index  index.html index.htm;
     }
 }

1.2不带注释版【可能粘贴的时候注释会导致格式错误】

server {
     listen 443 ssl; 
     server_name cloud.tencent.com; 
     ssl_certificate cloud.tencent.com_bundle.crt; 
     ssl_certificate_key cloud.tencent.com.key; 
     ssl_session_timeout 5m;
     ssl_protocols TLSv1.2 TLSv1.3; 
     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
     ssl_prefer_server_ciphers on;
     location / {
         root html; 
         index  index.html index.htm;
     }
 }

2.通过执行以下命令验证配置文件问题。

nginx -t

正常返回：

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

若存在，请您重新配置或者根据提示修改存在问题。
若不存在，请执行3.

3. 通过执行以下命令重载 Nginx。

nginx -s reload

4. 重载成功，即可使用 https://cloud.tencent.com 进行访问。（自己的域名）

三、可能遇到的问题及解决方案

1.找不到文件

nginx -t
nginx: [emerg] BIO_new_file("/usr/local/nginx/conf/certt/wys.cn_bundle.crt") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/usr/local/nginx/conf/certt/wys.cn_bundle.crt','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

检查报错的文件路径是否和自己的文件路径不一致，修改正确即可。

2.没有ssl插件

./nginx -t
nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:122
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

请按照提前准备中的3.1步骤执行

3.端口号问题【配置正常没有报错，https却访问不了】

3.1服务器内防火墙端口是否打开

首先使用systemctl status firewalld命令检查是否开启防火墙，如为未开启要systemctl start firewalld启动

systemctl status firewalld
--如果未启动则执行启动（一般是启动的）
systemctl start firewalld

然后使用命令开放443端口号。

firewall-cmd --zone=public --add-port=443/tcp --permanent

最后使用

firewall-cmd --reload

命令重新加载防火墙。

3.2.云服务器端口是否开发

登录云服务器，检查443端口是否正常开放
在这里插入图片描述

4.http如何自动跳转https

修改原来的80端口即可，修改后重新执行nginx -t和nginx -s reload

server {
        listen       80;
        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        #填写绑定证书的域名
        server_name wys.cn www.wys.cn;
        #把http的域名请求转成https
        return 301 https://$host$request_uri;
 #       location / {
 #           root   html;
 #           index  index.html index.htm;
 #       }