网站使用nginx部署ssl证书开启https(开启http2)

原创 已于 2024-04-09 10:38:19 修改 · 3k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #ssl #https

于 2024-04-06 00:19:59 首次发布
本文详细介绍了如何在腾讯云和阿里云上申请免费SSL证书,下载并上传至服务器,配置Nginx以实现HTTP到HTTPS的重定向,以及开启HTTP2功能的步骤。通过实例展示了如何为不同域名配置SSL和设置80端口到443端口的强制重定向。

目录

网站部署ssl证书就是将网站的http协议转换为更加安全的https协议

步骤:
腾讯云和阿里云部署ssl证书流程基本一致

1、腾讯云申请ssl证书(可以免费申请50个,有效期一年;阿里云可以免费申请20个,有效期三个月)

2、下载证书(最好选择nginx服务器,适合大多数服务器)

3、xftp将下载的证书上传到服务器指定的目录下(这里我是上传到nginx的目录下的/usr/share/nginx/cert/xxx)

4、nginx配置对应域名的443端口,开启ssl

5、nginx监听对应域名的80端口返回301强制重定向到该域名下的ssl443端口

上述配置完后直接访问域名(比如haixtx.cn)就会跳转到配置了ssl的443端口(即https://haixtx.cn)

详细说明:

1、腾讯云申请ssl证书

登录腾讯云官网搜索SSL证书->点击我的证书->点击申请免费证书

进入申请证书页面选择免费版,然后根据提示一步一步进行(注意一个ssl证书只能对应一个域名/二级域名),在填写域名时填写自己需要绑定ssl的域名,一般情况下申请了几分钟后就会成功

2、下载证书

选择需要部署的ssl证书点击下载,选择nginx服务器

将证书下载到本地后就通过xftp登录服务器准备上传证书

3、xftp将下载的证书上传到服务器指定的目录下

ssl证书下载解压后会有下面四个文件,只需要把.key.pem两个文件上传服务器,nginx部署会用到这两个文件

服务器新建一个文件夹存放证书,我这里新建/usr/share/nginx/cert/xxx来存放上传的证书文件

4、nginx配置对应域名的443端口,开启ssl

xshell登录服务器配置nginx(前提是得下载了nginx),nginx的子配置文件存放在/etc/nginx/conf.d目录下,

在/etc/nginx/conf.d目录下创建cert.conf子配置文件配置haixtx.cn域名的ssl

我这里把博客项目的三个项目对应的域名都配置了ssl,步骤都一样,每个域名单独配置

# /etc/nginx/conf.d/cert.conf
# 配置前台项目ssl
server {
    # 服务器端口使用443,开启ssl
    listen 443 ssl http2;  #开启http2
    # 域名,多个以空格分开
    server_name  haixtx.cn www.haixtx.cn;# ssl证书地址
    ssl_certificate     /usr/share/nginx/cert/blog/haixtx.club_bundle.pem;  # pem文件的路径
    ssl_certificate_key  /usr/share/nginx/cert/blog/haixtx.club.key; # key文件的路径
  
    # ssl验证相关配置
    ssl_session_timeout  5m;    #缓存有效期
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;    #加密算法
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;    #安全链接可选的加密协议
    ssl_prefer_server_ciphers on;   #使用服务器端的首选算法# 反向代理,根据自己需求配置
    location / {
        proxy_pass http://101.33.249.237:82;
    }
    #静态资源缓开启缓存
    location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$
    {
    proxy_pass http://101.33.249.237:82;
        expires 30d;
        # 图片防盗链,防止其它网站利用外链访问我们的图片,有利于节省流量
        #valid_referers none blocked server_names ~.google. ~.baidu. *.qq.com;  # 只允许本机 IP 外链引用,将百度和谷歌也加入白名单有利于 SEO
        #if ($invalid_referer){
        #    return 403;
        #}
    }
    location ~ .*.(js|css)?$
    {
    proxy_pass http://101.33.249.237:82;
        expires 12h;
    }}
# 配置后台项目ssl
server {
    # 服务器端口使用443,开启ssl
    listen 443 ssl http2; #开启http2
    # 域名,多个以空格分开
    server_name  admin.haixtx.cn;# ssl证书地址
    ssl_certificate     /usr/share/nginx/cert/admin/admin.haixtx.club_bundle.pem;  # pem文件的路径
    ssl_certificate_key  /usr/share/nginx/cert/admin/admin.haixtx.club.key; # key文件的路径# ssl验证相关配置
    ssl_session_timeout  5m;    #缓存有效期
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;    #加密算法
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;    #安全链接可选的加密协议
    ssl_prefer_server_ciphers on;   #使用服务器端的首选算法
​
    location / {
        proxy_pass http://101.33.249.237:8000;
    }
    #静态资源缓开启缓存
    location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$
    {
        # 这里同样需要反向代理,不然请求路径会是admin.haixtx.cn,会出现404
        proxy_pass http://101.33.249.237:8000;
        expires 30d;
        # 图片防盗链,防止其它网站利用外链访问我们的图片,有利于节省流量
        #valid_referers none blocked server_names ~.google. ~.baidu. *.qq.com;  # 只允许本机 IP 外链引用,将百度和谷歌也加入白名单有利于 SEO
        #if ($invalid_referer){
        #    return 403;
        #}
    }
    location ~ .*.(js|css)?$
    {
        proxy_pass http://101.33.249.237:8000;
        expires 12h;
    }}# 配置后端ssl
server {
    # 服务器端口使用443,开启ssl
    listen 443 ssl http2; #开启http2
    # 域名,多个以空格分开
    server_name  node.haixtx.cn;# ssl证书地址
    ssl_certificate     /usr/share/nginx/cert/node/node.haixtx.club_bundle.pem;  # pem文件的路径
    ssl_certificate_key  /usr/share/nginx/cert/node/node.haixtx.club.key; # key文件的路径# ssl验证相关配置
    ssl_session_timeout  5m;    #缓存有效期
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;    #加密算法
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;    #安全链接可选的加密协议
    ssl_prefer_server_ciphers on;   #使用服务器端的首选算法
​
    location / {
        proxy_pass http://101.33.249.237:3000;
    }
    #后端图片开启缓存
    location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$
    {
        proxy_pass http://101.33.249.237:3000;
        expires 30d;
    }}

上面配置完后以https访问对应域名(比如https://haixtx.cn)(443端口)就可以正常访问到项目了,但是如果直接访问haixtx.cn还是会默认跳转到http:haixtx.cn(80端口),所以下面可以在创建一个nginx子配置文件将http的80端口重定向到https的443端口

注意: https网页内不允许发送http请求,浏览器在https网页中遇到http请求会报错并阻止http请求的发送,所以需要给后端项目也配置ssl证书开启https

5、nginx监听对应域名的80端口返回301强制重定向到该域名下的ssl443端口

新建/etc/nginx/conf.d/proxy.conf子配置文件重定向http80端口到https的443端口

server{
    listen 80;
    server_name haixtx.cn;
    #反向代理前台
    location / {
        return 301 https://$server_name$request_uri;
    }
}
server{
    listen 80;
    server_name admin.haixtx.cn;
    #反向代理后台管理系统
   location / {
        return 301 https://$server_name$request_uri;
   }
}
server{
   listen 80;
    server_name node.haixtx.cn;
    #反向代理后端
   location / {
       return 301 https://$server_name$request_uri;
  }
}

上面配置完后直接访问haixtx.cn也会重定向到https://haixtx.cn,也就是几种访问方式都会跳转到配置了ssl的项目去(开启https)

至此项目部署ssl就完成了

注意: 开启http2的前提是需要开启https,即http->https->http2nginx开启http2后要重启nginx才能生效

nginx -s stop && nginx

测试HTTP2是否开启成功

  • 开启了https的域名下不能再使用http请求了,也就是说开启了https的项目中的所有http请求都需要切换为https,不然会报错
  • 如何查看网站是否开启http有两种办法:

1、谷歌浏览器f12开启:Chrome=>F12=>Network=>Tab栏右键点击=>勾选Protocol

2、谷歌浏览器f12控制台输入并运行下面的代码

(function(){
  //验证网站是否使用了http2
  if(window.chrome && typeof chrome.loadTimes === 'function') {
    var loadTimes = window.chrome.loadTimes()
    var spdy = loadTimes.wasFetchedViaSpdy
    var info = loadTimes.npnNegotiatedProtocol || loadTimes.connectionInfo
    if(spdy && /^h2/i.test(info)) {
      return console.log('本站点使用了 http2')
    }
  }
  console.warn('本站点未使用 http2')
})()
nginx ssl证书配置
学海无涯,我用JAVA
03-11 4257
linux服务器nginx配置ssl证书。至此 已经可以成功通过域名访问到服务器的页面了~~
nginx管理:配置SSL证书、把http的域名请求转成https、流水线nginx镜像部署VUE项目
专注于计算机研发知识和资讯分享
12-11 1878
dockerfile: 镜像构建。流水线配置:node.js构建。
nginx SSL证书
y1701的博客
09-02 3943
SSL证书
宝塔域名https配置
起風了
09-23 1641
1.网站的配置文件 server { listen 80 default_server; listen 443 ssl http2 default_server; server_name cloudslife.fun; index index.php index.html index.htm default.php default.htm default.html; root /www/wwwroot/cloudslife.fun; #SSL-START
nginx中配置https详解:配置SSL/TLS证书
最新发布
qq_55656748的博客
09-10 4765
在当今互联网环境中,网站安全性至关重要。SSL/TLS 协议为网站提供了加密通信的能力,保护用户数据免受窃听和篡改。本文将详细介绍如何在 Nginx 服务器上配置 SSL/TLS 证书,包括获取证书、配置 Nginx、强化安全性等完整流程。无论您是使用 Let’s Encrypt 的免费证书还是自签名证书,都能在本指南中找到对应的配置方法。通过本文的详细步骤,您已经学会了如何在 Nginx 服务器上配置 SSL/TLS 证书
nginx开启https功能
guo_3472428370的博客
05-20 2890
http:80 https:443 下边这种协议比http要安全,因为数据传输是经过加密的 当访问http://www.baidu.com的时候,访问的url会跳转到https://www.baidu.com 一.https简介 1.https其实是由两部分组成的:HTTP+SSL/ TLS,也就是在HTTP上有加了一层加密处理信息的模块。服务端和客户端信息传输都会通过TLS进行加密,所以传输的数据都是加密。具体时间如何进行加密,解密,验证的,且看下图 搭建https网站: 1.先安装依
nginx中如何开启https访问功能
weixin_43401380的博客
09-27 5217
前端部署项目需要https支持,将原有的http访问方式进行升级,参考过其他同学的博客记录,记录一下自己遇到的坑,希望对有同样需求的同学有所帮助,少采坑,提升效率!
nginx部署SSL证书实现HTTPS安全访问完整配置示例
07-14
在 Ubuntu 16.04 上为 Nginx 开启 HTTPS: DNS:阿里云云解析把域名 bjubi.com 指向 47.89.12.99。 证书:在云盾申请免费 DV SSL,签发后得到 .pem(公钥)和 .key(私钥)。 安装:apt update && apt install nginx...
docker部署nginx配置ssl证书https
qq_42553504的博客
04-18 2013
所有来自`ccaih.com`域名的HTTPS请求将被处理,并使用指定的SSL证书和私钥进行加密。`:指定SSL私钥文件的路径。`:配置SSL会话缓存的类型和大小,这里是共享的缓存,大小为1兆字节(MB)。`:指定该服务器块监听的端口是443,即HTTPS的默认端口。`:指定该服务器块的域名是`ccaih.com`。这个配置块是一个Nginx服务器块,用于配置`ccaih.com`域名的HTTPS服务。
Nginx环境SSL证书部署方法
03-13
Nginx服务器环境中部署SSL证书是保证网站安全通信的重要步骤。SSL(Secure Sockets Layer)证书能够实现数据加密和服务器身份验证,确保客户端和服务器间传输的数据不被第三方截取或篡改。当完成证书的购买和申请...
Vue项目部署Nginx配置文件 SSL
08-11
- 为了提高安全性,你可以启用额外的 SSL 加密套件和选项,比如使用 `Let's Encrypt` 获取免费证书开启 HTTP/2 支持,以及使用预共享密钥(PSK)等。 ```nginx ssl_preload on; ssl_session_cache shared:SSL:...
nginx开启https配置
qq_35843477的博客
01-21 3483
小程序上线官方强制要求使用https,这里记录一下https部署使用;如果有钱的话可以购买证书这里使用的是免费的 1.使用Let’s Encrypt免费证书 官网:https://letsencrypt.org/ 默认3个月,但是可以无限申请可以通过脚本的方式达到永久证书,到快到期的时候重新申请新的即可 具体操作请参考 https://www.168seo.cn/linux/24483.ht...
Nginx内网环境开启https双协议
Mr_Wanter
05-13 3109
nginx内网环境配置https
Nginxnginx中启用https模块
qq_43606536的博客
07-09 304
本文介绍了在Nginx中配置HTTPS模块的步骤:1)准备证书和密钥文件;2)编辑配置文件(如/etc/nginx/conf.d/default.conf),配置监听443端口、证书路径、SSL协议版本和加密套件等参数;3)优化SSL会话缓存设置;4)测试配置并重启Nginx服务。同时强调了安全注意事项:需限制证书文件权限(chmod 600)、修改文件属主(root:root),并确保防火墙开放443端口。配置完成后可通过nginx -t验证语法,systemctl restart nginx重启服务生效
nginx开启https
w2909526的博客
04-20 691
ssl on; ssl_certificate /usr/local/nginx/conf/ssl/213986422830320.pem; ssl_certificate_key /usr/local/nginx/conf/ssl/213986422830320.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.
nginx启用https
qq_38352483的博客
05-15 695
**现在项目基本上都是使用https来进行访问,保障一定的安全性能。而以前的方式都是在tomcat上面配置ssl,但是现在流量上去了,一台服务器已经不满足使用了,需要使用多个服务来分流访问。我们这里就来聊聊nginx分发并启用https访问的相关内容。 先简单了说说nginx的安装。** 1、安装nginx依赖包 yum -y install gcc gcc-c++ autoconf automake make yum -y install zlib zlib-devel openssl openss.
Nginx配置开启HTTP2支持
Heartsuit的博客
03-16 1万+
背景 目前主流的HTTP/1.1标准,自1999年发布的RFC2616之后再未进行修订,实际生产中,想通过HTTP/2使得系统响应更快,顺便体验下这个较新的标准。借用下《图解HTTP》中的一句话: HTTP2的目标是改善用户在使用Web时的速度体验。 Note: 具体使用HTTP版本可通过浏览器控制台查看。 检测下自己的网站是否支持HTTP2: 关于HTTP/2HTTP/1速度对比 环境要求 Nginx的版本必须在1.9.5以上,该版本的Nginx使用http_v2_modu
nginx开通https
热门推荐
齐较瘦的博客
06-12 4万+
nginx开通https 简述 为大家提供一个https的配置流程吧,供大家参考。 1、下载SSL证书 2、两个证书放在cert目录上然后放到nginxnginx.conf同目录下 3、去nginx解压目录下执行 ./configure --with-http_ssl_module 如果报错 ./configure: error: SSL modules require the OpenSSL library. 则执行 yum -y install openssl openssl-devel ./c
nginx配置域名启用http2协议
星空的风fly
05-13 3万+
HTTP1.1则在1999年才开始广泛应用于现在的各大浏览器网络请求中,同时HTTP1.1也是当前使用最为广泛的HTTP协议。HTTP/2在支持HTTP1.1的基础上拓展了, 较之1.1在性能上有着大幅度的提升。现在基本都主流浏览器都支持HTTP2协议,许多支持HTTPS网站基本也都启用了HTTP2协议,若我们的域名配置了HTTPS证书,可以在nginx中配置启用HTTP2协议,加速网站响应...
linux nginx部署ssl证书
08-08
### 配置 Nginx 服务器以部署 SSL 证书 在 Linux 系统上使用 Nginx 部署 SSL 证书是启用 HTTPS 加密通信的重要步骤。以下是详细的部署指南: #### 1. 准备工作 确保您已经准备好以下内容: - 有效的 SSL 证书文件(通常包括 `.crt` 文件) - 私钥文件(`.key` 文件) - 中间证书文件(可选,但推荐使用以构建完整的证书链) - Nginx 已经安装并正常运行 如果您使用的是自签名证书,则需要使用 `openssl` 工具生成证书和私钥[^4]。 ```bash sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt ``` #### 2. 上传证书文件 将 SSL 证书和私钥上传到服务器,通常建议将证书文件存储在 `/etc/nginx/ssl/` 或 `/etc/ssl/certs/` 目录中。例如: - 证书文件:`/etc/nginx/ssl/example.com.crt` - 私钥文件:`/etc/nginx/ssl/example.com.key` - 中间证书文件:`/etc/nginx/ssl/example.com.ca-bundle` #### 3. 编辑 Nginx 配置文件 打开 Nginx 的站点配置文件(如 `/etc/nginx/sites-available/default` 或 `/etc/nginx/conf.d/example_ssl.conf`),并添加或修改以下内容: ```nginx server { listen 443 ssl; server_name example.com www.example.com; ssl_certificate /etc/nginx/ssl/example.com.crt; ssl_certificate_key /etc/nginx/ssl/example.com.key; ssl_trusted_certificate /etc/nginx/ssl/example.com.ca-bundle; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; location / { root /usr/share/nginx/html; index index.html index.htm; } # 其他配置... } ``` 如果您使用的是国密算法(如 SM2),则需要指定国密加密套件和协议版本[^3]: ```nginx ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers SM2-SM3-SM4-ECDHE-SM2-WITH-SM3; ssl_prefer_server_ciphers on; ``` #### 4. 配置 HTTPHTTPS 重定向(可选) 为了确保所有流量都通过 HTTPS 访问,可以在 HTTP 配置中添加重定向: ```nginx server { listen 80; server_name example.com www.example.com; return 301 https://$host$request_uri; } ``` #### 5. 检查配置并重启 Nginx 在应用配置之前,检查 Nginx 配置是否正确: ```bash sudo nginx -t ``` 如果没有错误,重启 Nginx 服务以应用更改: ```bash sudo systemctl restart nginx ``` #### 6. 验证 SSL 证书 访问 `https://example.com`,确保浏览器显示安全锁图标。您可以使用以下在线工具验证证书的完整性和配置是否正确: - [SSL Labs SSL Test](https://www.ssllabs.com/ssltest/) #### 7. 定期更新与维护 - **证书续期**:SSL 证书通常有有效期(如 90 天),需定期更新。可使用 Let's Encrypt 等工具自动续期。 - **密钥保护**:确保私钥文件的权限设置为 `600`,并仅限 `root` 用户访问。 - **日志监控**:定期检查 Nginx 日志(如 `/var/log/nginx/error.log`)以发现潜在问题。 --- ###
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值