当前位置: 首页>后端>正文

Ubuntu Nginx 配置 SSL 证书

首先需要在 Ubuntu 中安装 Nginx 服务, 打开终端执行以下命令:

$ sudo apt update
$ sudo apt install nginx -y

然后启动 Nginx 服务并设置为开机时自动启动, 执行以下命令:

$ sudo systemctl start nginx
$ sudo systemctl enable nginx

最后再验证一下 Nginx 服务的当前状态, 执行以下命令:

$ sudo systemctl status nginx
$ sudo systemctl is-active nginx

下载证书

从云服务提供商处下载适用 NginxSSL 证书文件, 以腾讯云为例, 如果有一个 xxx.xxx 的域名, 下载到本地的文件夹名称为 xxx.xxx_nginx, 文件夹内包含下面四个证书文件:

  • xxx.xxx_bundle.crt
    • 根证书交叉文件
  • xxx.xxx_bundle.pem
    • 使用pem编码的证书文件
  • xxx.xxx.csr
    • 证书签名请求文件
  • xxx.xxx.key
    • 私钥公钥对文件

进入到 Nginx 服务的配置目录下, 创建一个 xxx.xxx_nginx 目录并进入该目录下, 然后以管理员身份下载证书文件:

$ cd /etc/nginx
$ sudo mkdir xxx.xxx_nginx
$ cd xxx.xxx_nginx
$ sudo [证书下载请求地址]

证书文件下载完成后可以通过 ls -l 查看一下刚刚下载好的证书文件。

配置代理

进入到 Nginx 配置目录下 conf.d 目录, 创建一个 xxx.xxx_nginx.conf 配置文件, 并开始编辑配置文件:

cd /etc/nginx/conf.d
sudo touch xxx.xxx_nginx.conf
sudo vim xxx.xxx_nginx.conf

假设 XXX 为当前服务的名称, 开始配置代码。

动态服务配置

upstream XXX {
    # 本地服务地址
    server 127.0.0.1:10086;
}

server {
    listen 80;
    server_name xxx.xxx;
    # 把 HTTP 的域名请求转成 HTTPS
    return 301 https://$host$request_uri;
}

server {
    # SSL 访问端口号为 443
    listen 443 ssl;
    # 填写绑定证书的域名
    server_name xxx.xxx;
    # 证书文件名称
    ssl_certificate xxx.xxx_nginx/xxx.xxx_bundle.crt;
    # 私钥文件名称
    ssl_certificate_key xxx.xxx_nginx/xxx.xxx.key;
    ssl_session_timeout 5m;
    # 请按照以下协议配置
    ssl_protocols TLSv1.2 TLSv1.3;
    # 请按照以下套件配置, 配置加密套件, 写法遵循 openssl 标准
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;
    location / {
        # 网站主页路径. 此路径仅供参考, 具体请您按照实际目录操作
        # 例如, 您的网站运行目录在/etc/www下, 则填写/etc/www
        # root html;
        # index  index.html index.htm;
        proxy_pass http://XXX;
        proxy_http_version 1.1;
        proxy_redirect off;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Server $host;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_send_timeout 120s;
        proxy_read_timeout 240s;
        # 最大允许上传 10~20000 MB 的内容
        client_max_body_size 10m;
        # 解决 HTTPS 站点里面引用 HTTP 资源的异常
        add_header Content-Security-Policy upgrade-insecure-requests;
    }
}

静态服务配置

server {
    # SSL 访问端口号为 443
    listen 443 ssl; 
    # 填写绑定证书的域名
    server_name xxx.xxx; 
    # 证书文件名称
    ssl_certificate xxx.xxx_nginx/xxx.xxx_bundle.crt;
    # 私钥文件名称
    ssl_certificate_key xxx.xxx_nginx/xxx.xxx.key;
    ssl_session_timeout 5m;
    # 请按照以下协议配置
    ssl_protocols TLSv1.2 TLSv1.3; 
    # 请按照以下套件配置,配置加密套件, 写法遵循 openssl 标准。
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
    ssl_prefer_server_ciphers on;
    location / {
        # 网站主页路径。此路径仅供参考, 具体请您按照实际目录操作。
        # 例如,您的网站运行目录在/etc/www下, 则填写/etc/www。
        root /.../.../.../app;
        index index.html;
    }
    location /static {
        alias /.../.../.../static;
    }
}

代理到目标服务

server {
    listen 80;
    server_name xxx.xxx;
    # 把 HTTP 的域名请求转成 HTTPS
    return 301 https://$host$request_uri;
}

server {
    # SSL 访问端口号为 443
    listen 443 ssl;
    # 填写绑定证书的域名
    server_name xxx.xxx;
    # 证书文件名称
    ssl_certificate xxx.xxx_nginx/xxx.xxx_bundle.crt;
    # 私钥文件名称
    ssl_certificate_key xxx.xxx_nginx/xxx.xxx.key;
    ssl_session_timeout 5m;
    # 请按照以下协议配置
    ssl_protocols TLSv1.2 TLSv1.3;
    # 请按照以下套件配置, 配置加密套件, 写法遵循 openssl 标准
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;
    location / {
        # 网站主页路径. 此路径仅供参考, 具体请您按照实际目录操作
        # 例如, 您的网站运行目录在/etc/www下, 则填写/etc/www
        # root html;
        # index  index.html index.htm;
        # https://api.n.n.com/ 为目标服务
        proxy_pass https://api.n.n.com/;
        proxy_ssl_server_name on;
        proxy_set_header Host api.n.n.com;
        # 保证 stream 请求时 EventSource 类型响应的输出
        proxy_set_header Connection '';
        proxy_http_version 1.1;
        chunked_transfer_encoding off;
        proxy_buffering off;
        proxy_cache off;
    }
}

重启服务

为了使上面的配置生效, 需要检测配置文件的有效性, 并且重启 Nginx 服务:

$ sudo nginx -t
$ sudo nginx -s reload

最后就可以验证一下 https://xxx.xxx 是否可以成功访问。


https://www.xamrdz.com/backend/3h31939013.html

相关文章: