Nginx配置Https指南

前言

本文是对Nginx配置SSL证书的总结。

申请SSL证书

你可以从任何证书提供商处申请证书，这里以阿里云为例。

打开阿里云SSL证书控制台，点击购买证书

选择免费型一年期的证书，点击立即购买

注意，1年到期后别忘记重新申请证书！

支付

放心大胆的支付吧，不用钱！

验证SSL证书

购买完成之后，返回SSL证书控制台，你应该会看到刚才购买的证书。我们点击申请

填写域名（必须是你自己的或者有管理权的域名）和相关信息，完成后点击下一步。

注意，免费型证书只支持单个域名！例如你要为www.example.com申请证书，你必须填写www.example.com，而不能是example.com。

在DNS服务商处配置阿里云提供的验证信息。

例如DNSPod，填写主机记录，记录值和记录类型，然后点击保存。

耐心等待TTL刷新（一般为10分钟，也可能花不了10分钟）。

回到阿里云SSL证书申请页面，点击验证。

签发域名

验证通过后，证书提供商将会为你的域名颁发证书。在阿里云SSL证书控制台的已签发列表下可以找到你的域名对应的SSL证书。

下载证书

下载Nginx对应的SSL证书xx_nginx.zip，准备配置Nginx。

配置Nginx

如果你还没有安装Nginx，可以参考部署Nginx

上传证书

$ sudo mkdir /etc/nginx/certs
$ sudo cd /etc/nginx/certs
## 上传你的证书至此目录
$ sudo ls -l
drwxr-xr-x 2 root root 4096 Jul 24 17:15 ./
drwxr-xr-x 7 root root 4096 Jul 24 17:15 ../
-rw-r--r-- 1 root root 4053 Jul 24 16:49 xx_nginx.zip
$ sudo unzip xx_nginx.zip
$ sudo ls -l
-rw-r--r-- 1 root root 1679 Jul 24 16:48 xx.key ## ssl cert key
-rw-r--r-- 1 root root 3667 Jul 24 16:48 xx.pem ## ssl cert

一切准备就绪后，可以开始修改我们的Nginx配置文件了。

修改Nginx配置文件

将Http修改为Https非常简单，只需要修改一处内容，并添加若干代码。

1. 将listen 80;修改为listen 443;
2. 在server块中添加以下代码

ssl on;

ssl_certificate certs/xx.pem;
ssl_certificate_key certs/xx.key;
ssl_session_timeout 5m;

修改完成后，重启Nginx

$ sudo service nginx reload
$ sudo service nginx restart

好了，使用Https访问你的网站吧。

Http强制转向Https

注意，以上修改完成后，只能使用Https访问了，但是往往我们不希望用户使用Http访问的时候出现404的情况。那么，我们可以简单的将80端口的用户转发到443端口，来达到Http和Https共存的状态。

在Nginx配置文件中添加

server {
        listen 80;
        server_name xx.xx.com;

        return 301 https://$server_name$request_uri;
}

重启Nginx