nginx使用SSL模块配置HTTPS支持

生成证书

创建服务器私钥，命令会让你输入一个口令：

1
2
1$ openssl genrsa -des3 -out server_org.key 1024

2

除去私钥口令,否则启动时需要输入口令(没亲试)

1
2
1$ openssl rsa -in server_org.key -out server.key

2

生成一个证书请求(CSR),生成证书请求，会提示输入省份、城市、域名信息、邮箱等。

1
2
1$ openssl req -new -key server_org.key -out server.csr

2

Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:Beijing Locality Name (eg, city) [Default City]:Beijing Organization Name (eg, company) [Default Company Ltd]:CompanyName Organizational Unit Name (eg, section) []:unitName Common Name (eg, your name or your server's hostname) []:hostName Email Address []:admin@xx.com

注意Common Name不能省略，某些svn客户端访问会验证这项而导致访问失败， 例如TortoiseSVN会报：

方法OPTIONS 失败于“https://xxx/svn/xx”: Server certificate was missing commonName attribute in subject name

自己签发证书

1
2
1$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

2

配置nginx的SSL

1
2
3
4
5
6
7
8
1server {

2        server_name YOUR_DOMAINNAME_HERE;

3        listen 443;

4        ssl on;

5        ssl_certificate /etc/nginx/conf.d/server.crt;

6        ssl_certificate_key /etc/nginx/conf.d/server.key;

7    }

8

重启nginx,这样就可以通过以下方式访问： https://YOUR_DOMAINNAME_HERE

自行颁发的SSL证书能够实现加密传输功能，但浏览器并不信任，会告警，选择继续或者添加例外可访问。如果要获取受浏览器信任的证书，则需要到证书提供商处申请。证书授证中心，又叫做CA机构，为每个使用公开密钥的用户发放一个数字证书。CA签发的证书一般都价格不菲，小网站可选择一些免费证书，国内免费证书可考虑沃通，比较方便。

另外还可以加入如下代码实现80端口重定向到443:

1
2
3
4
5
6
1server {

2       listen 80;

3       server_name YOUR_DOMAINNAME_HERE;

4       rewrite ^(.*) https://$server_name$1 permanent;

5    }

6