前言
剛剛部署完服務(wù)器后的我滿懷欣喜地訪問自己的網(wǎng)站��,看哪都哪滿意�。但是興奮感一過發(fā)現(xiàn)��,誒,為什么瀏覽器左上角會(huì)提示不安全���?想了想�����,不行�,我也要搞個(gè)https來(lái)���,我也要上鎖��!
HTTP協(xié)議以明文方式發(fā)送內(nèi)容�,不提供任何方式的數(shù)據(jù)加密���。為了數(shù)據(jù)傳輸?shù)陌踩?,HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議���,SSL依靠證書來(lái)驗(yàn)證服務(wù)器的身份�����,并為瀏覽器和服務(wù)器之間的通信加密����。
申請(qǐng)證書
在這里,我直接申請(qǐng)騰訊云的免費(fèi)證書��。這里需要注意下����,這亞洲誠(chéng)信機(jī)構(gòu)頒發(fā)的免費(fèi)證書只能一個(gè)域名使用,子域名那些需要另外申請(qǐng)�����。別說�����,這騰訊里面申請(qǐng)還挺快的����,十多分鐘就通過了�����。下載的是一個(gè)zip文件�,解壓后打開里面的Nginx文件夾�����,把1_XXX.com_bundle.crt跟2_XXX.com.key文件復(fù)制下來(lái)����。
打開nginx配置文件
不知道nginx文件位置的話可以通過whereis nginx命令來(lái)查找����。
我的配置文件在/ect/nginx,現(xiàn)在把剛才的兩個(gè)證書文件復(fù)制過來(lái)�����,待會(huì)直接配置使用就行了�。nginx的配置文件是nginx.conf,里面的配置內(nèi)容有以下�,為了容易明白,我都加上了注釋��。
# 運(yùn)行用戶�,默認(rèn)即是nginx,可以不進(jìn)行設(shè)置
user nginx;
#Nginx進(jìn)程�����,一般設(shè)置為和CPU核數(shù)一樣
worker_processes 1;
#錯(cuò)誤日志存放目錄
error_log /var/log/nginx/error.log warn;
#進(jìn)程pid存放位置
pid /var/run/nginx.pid;
events {
worker_connections 1024; # 單個(gè)后臺(tái)進(jìn)程的最大并發(fā)數(shù)
}
http {
include /etc/nginx/mime.types; #文件擴(kuò)展名與類型映射表
default_type application/octet-stream; #默認(rèn)文件類型
#設(shè)置日志模式
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main; #nginx訪問日志存放位置
sendfile on; #開啟高效傳輸模式
#tcp_nopush on; #減少網(wǎng)絡(luò)報(bào)文段的數(shù)量
keepalive_timeout 65; #保持連接的時(shí)間,也叫超時(shí)時(shí)間
#gzip on; #開啟gzip壓縮
include /etc/nginx/conf.d/*.conf; #包含的子配置項(xiàng)位置和文件
}
大致看一下就好了����,這是全局配置。為了更好管理��,我們還是在最后一行聲明的/etc/nginx/conf.d文件夾里進(jìn)行子項(xiàng)目配置���。
打開里面的default.conf
#設(shè)定虛擬主機(jī)配置
server {
#偵聽443端口�����,這個(gè)是ssl訪問端口
listen 443;
#定義使用 訪問域名
server_name XXX.com;
#定義服務(wù)器的默認(rèn)網(wǎng)站根目錄位置
root /web/www/website/dist;
#設(shè)定本虛擬主機(jī)的訪問日志
access_log logs/nginx.access.log main;
# 這些都是騰訊云推薦的配置�,直接拿來(lái)用就行了���,只是修改證書的路徑���,注意這些路徑是相對(duì)于/etc/nginx/nginx.conf文件位置
ssl on;
ssl_certificate 1_XXX.com_bundle.crt;
ssl_certificate_key 2_XXX.com.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個(gè)協(xié)議配置
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個(gè)套件配置
ssl_prefer_server_ciphers on;
#默認(rèn)請(qǐng)求
location / {
root /web/www/website/dist;
#定義首頁(yè)索引文件的名稱
index index.html;
}
#靜態(tài)文件,nginx自己處理
location ~ ^/(images|javascript|js|css|flash|media|static)/ {
#過期30天�����,靜態(tài)文件不怎么更新��,過期可以設(shè)大一點(diǎn)�����,
#如果頻繁更新��,則可以設(shè)置得小一點(diǎn)�����。
expires 30d;
}
#禁止訪問 .htxxx 文件
# location ~ /.ht {
# deny all;
#}
}
server
{
# 80端口是http正常訪問的接口
listen 80;
server_name XXX.com;
# 在這里���,我做了https全加密處理��,在訪問http的時(shí)候自動(dòng)跳轉(zhuǎn)到https
rewrite ^(.*) https://$host$1 permanent;
}
唔�,配置基本就這些���,挺簡(jiǎn)單的吧���。小白福利。
然后我們配置文件寫好后用nginx測(cè)試一下
妥妥的����,這個(gè)過了后就能重啟nginx生效了���。
這里需要注意下,導(dǎo)入新的證書后需要重啟而不是重載��,nginx -s reload是普通修改配置重載����。
# 停止nginx
nginx -s stop
# 啟動(dòng)
nginx
重啟后再次訪問自己的網(wǎng)站,嘖嘖�����,完美�,左上角加上鎖,提示安全的連接�。誒,搞定���,開心��。
nginx日常操作命令
- nginx -t 測(cè)試配置文件
- nginx -s reload 修改配置后重載生效
- nginx -s reopen 重新打開日志文件
- nginx -s stop 快速停止
- nginx -s quit
查看nginx進(jìn)程
總結(jié)
以上就是這篇文章的全部?jī)?nèi)容了���,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,如果有疑問大家可以留言交流,謝謝大家對(duì)腳本之家的支持���。
