Nginx高级配置-实现多域名HTTPS

                                       作者:尹正杰

版权声明:原创作品,谢绝转载!否则将追究法律责任。

一.Nginx支持基于单个IP实现多域名的功能

  Nginx支持基于单个IP实现多域名的功能,并且还支持单IP多域名的基础之上实现HTTPS,这一点Apache Httpd是不支持的,其实是基于Nginx的SNI(Server Name Indication)功能实现,SNI是为了解决一个Nginx服务器内使用一个IP绑定多个域名和证书的功能,其具体功能是客户端在连接到服务器建立SSL链接之前先发送要访问站点的域名(Hostname),这样服务器再根据这个域名返回给客户端一个合适的证书。

  其实配置基于单个IP实现多域名的HTTPS方式也就是重复单个网站的https配置相应步骤。我的实验环境是在基于Nginx配置单个网站的https(博客链接:https://www.cnblogs.com/yinzhengjie/p/12052401.html),也就是上一次试验基础之上继续后续的步骤。




二.生成自签名证书


1>.生成"mobile.yinzhengjie.org.cn"网站使用的密钥对




[root@node101.yinzhengjie.org.cn ~]# cd /yinzhengjie/softwares/nginx/certs/

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 24

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout mobile.yinzhengjie.org.cn.key -out mobile.yinzheng

jie.org.cn.csrGenerating a 4096 bit RSA private key

.......................................................................................................................++

................................................................++

writing new private key to 'mobile.yinzhengjie.org.cn.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:beijing

Locality Name (eg, city) [Default City]:beijing

Organization Name (eg, company) [Default Company Ltd]:yinzhengjie

Organizational Unit Name (eg, section) []:devops

Common Name (eg, your name or your server's hostname) []:mobile.yinzhengjie.org.cn        #这里写网站的主机名称

Email Address []:y1053419035@qq.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:                                           #这里不要写密码

An optional company name []:

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 32

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr               #是一个公钥,即证书请求文件

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key               #私钥

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# 




2>.签发证书




[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 32

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# openssl x509 -req -days 3650 -in mobile.yinzhengjie.org.cn.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out mobile.yinzhengjie.org.cn.crt
Signature ok

subject=/C=CN/ST=beijing/L=beijing/O=yinzhengjie/OU=devops/CN=mobile.yinzhengjie.org.cn/emailAddress=y1053419035@qq.com

Getting CA Private Key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 36

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 10:19 ca.srl

-rw-r--r-- 1 root root 2049 Dec 22 10:19 mobile.yinzhengjie.org.cn.crt            #已经被自己的CA服务器签发的证书文件

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# 




三.Nginx证书配置


1>.查看主配置文件




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf/nginx.conf

worker_processes  4;

worker_cpu_affinity 00000001 00000010 00000100 00001000; 

events {

   worker_connections  100000;

   use epoll;

   accept_mutex on;

   multi_accept on;

}

   http {

     include       mime.types;

     default_type  text/html;

     charset utf-8;

     log_format my_access_json '{"@timestamp":"$time_iso8601",' '"host":"$server_addr",' '"clientip":"$remote_addr",' '"size":$body_bytes_sent,' '"responsetime":$request_ti

me,' '"upstreamtime":"$upstream_response_time",' '"upstreamhost":"$upstream_addr",' '"http_host":"$host",' '"uri":"$uri",' '"domain":"$host",' '"xff":"$http_x_forwarded_for",' '"referer":"$http_referer",' '"tcp_xff":"$proxy_protocol_addr",' '"http_user_agent":"$http_user_agent",' '"status":"$status"}';

    access_log logs/access_json.log my_access_json;

    ssl_certificate /yinzhengjie/softwares/nginx/certs/www.yinzhengjie.org.cn.crt;

    ssl_certificate_key /yinzhengjie/softwares/nginx/certs/www.yinzhengjie.org.cn.key;

    ssl_session_cache shared:sslcache:20m;

    ssl_session_timeout 10m;

    include /yinzhengjie/softwares/nginx/conf.d/*.conf;

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ll /yinzhengjie/softwares/nginx/conf.d/

total 8

-rw-r--r-- 1 root root 186 Dec 22 09:22 https.conf              #这个配置文件就是我们上一篇博客配置的内容

-rw-r--r-- 1 root root 438 Dec 22 10:25 mobile.conf              #这个配置是咱们新配置的域名

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 








[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/https.conf

server {

    listen 80;

    listen 443 ssl;

    server_name www.yinzhengjie.org.cn;

    location / {

       root /yinzhengjie/data/web/nginx/static;

       index index.html;

    }

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]# 




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/https.conf


2>.编辑mobile的配置文件支持https功能




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/mobile.conf

server {

    listen 80;

    listen 443 ssl;

    server_name mobile.yinzhengjie.org.cn;

    ssl_certificate /yinzhengjie/softwares/nginx/certs/mobile.yinzhengjie.org.cn.crt;

    ssl_certificate_key /yinzhengjie/softwares/nginx/certs/mobile.yinzhengjie.org.cn.key;

    ssl_session_cache shared:sslcache:20m;

    ssl_session_timeout 10m;   

    location / {

       root /yinzhengjie/data/web/nginx/mobile;

       index index.html;

    }

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 




3>.创建mobile网站的测试数据




[root@node101.yinzhengjie.org.cn ~]# mkdir -pv /yinzhengjie/data/web/nginx/mobile

mkdir: created directory ‘/yinzhengjie/data/web/nginx/mobile’

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# vim /yinzhengjie/data/web/nginx/mobile/index.html

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/data/web/nginx/mobile/index.html

<!doctype html>

<html lang="en">

<head>

    <meta charset="UTF-8" />

    <title>尹正杰的网页</title>

    <style type="text/css">

        h1{

            background-color: red;

            margin: 0;

            float: right;

            color: yellow;

        }

    </style>

</head>

<body>

     <h1>我的博客地址:https://www.cnblogs.com/yinzhengjie</H1>

</body>

</html>

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 




4>.重新加载nginx的配置文件




[root@node101.yinzhengjie.org.cn ~]# ps -ef | grep nginx | grep -v grep

root      9901     1  0 09:28 ?        00:00:00 nginx: master process nginx

nginx     9902  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9903  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9904  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9905  9901  0 09:28 ?        00:00:00 nginx: worker process

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -s reload

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ps -ef | grep nginx | grep -v grep

root      9901     1  0 09:28 ?        00:00:00 nginx: master process nginx

nginx    24916  9901  4 10:41 ?        00:00:00 nginx: worker process

nginx    24917  9901  5 10:41 ?        00:00:00 nginx: worker process

nginx    24918  9901  5 10:41 ?        00:00:00 nginx: worker process

nginx    24919  9901  5 10:41 ?        00:00:00 nginx: worker process

[root@node101.yinzhengjie.org.cn ~]# 




5>.客户端浏览器分别访问"http://mobile.yinzhengjie.org.cn/"和"https://mobile.yinzhengjie.org.cn/"


												


											
Nginx 高级配置-实现多域名HTTPS的更多相关文章
	

    
								
  1. Nginx 高级配置-https 功能
		
    Nginx 高级配置-https 功能 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.HTTPS工作过程 1>.SSL/TLS SSL(Secure Socket Lay ...
    
		
    2. 
						
  2. Nginx 高级配置--关于favicon.ico
		
    Nginx 高级配置--关于favicon.ico 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.浏览器会默认帮咱们访问官网的图标 1>.浏览器访问网站"htt ...
    
		
    3. 
						
  3. Nginx 高级配置-压缩功能
		
    Nginx 高级配置-压缩功能 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.Nginx压缩相关参数概述 1>.gzip on | off; Nginx支持对指定类型的文 ...
    
		
    4. 
						
  4. Nginx 高级配置-自定义json格式日志
		
    Nginx 高级配置-自定义json格式日志 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 在大数据运维工作中,我们经常会使用flume,filebeat相关日志收集工具取收集日志 ...
    
		
    5. 
						
  5. Nginx 高级配置-变量使用
		
    Nginx 高级配置-变量使用 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任.  nginx的变量可以在配置文件中引用,作为功能判断或者日志等场景使用,变量可以分为内置变量和自定义变 ...
    
		
    6. 
						
  6. Nginx 高级配置-第三方模块编译
		
    Nginx 高级配置-第三方模块编译 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 第三模块是对nginx 的功能扩展,第三方模块需要在编译安装Nginx 的时候使用参数--add ...
    
		
    7. 
						
  7. Ubuntu Nginx下配置网站ssl实现https访问
		
    最近在看  HTTP权威指南   看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介 什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...
    
		
    8. 
						
  8. Nginx 高级配置-状态页配置
		
    Nginx 高级配置-状态页配置 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 建议将nginx的监控状态的值通过zabbix或者Open-Falcon之类的监控工具来监控状态,并 ...
    
		
    9. 
						
  9. Nginx高级配置,同1台机器部署多个tomcat、配置多个域名,每个域名指向某一个tomcat下的项目,共用Nginx80端口访问;
		
    需求说明: 只有一台服务器和一个公网IP,多个项目部署在这台机器上面,且每个项目使用一个单独的域名访问,域名访问时都通过Nginx的80端口访问.(如下图所示) 配置过程: 一.tomcat的serv ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. async-profiler 容器使用常见问题
			
    Failed to inject profiler log Failed to inject profiler into 1830 linux-vdso.so.1 => (0x00007ffdf ...
    
			
    2. 
						
  2. python的可变类型和不可变类型
			
    Python有六种数据类型:数字类型.字符串类型.列表类型.元组类型.字典类型和集合类型 其中不可变类型包括三种:数字类型.字符串类型和元组类型 剩余三种为可变类型:列表类型.字典类型和集合类型 可变 ...
    
			
    3. 
						
  3. 8.11 NOIP模拟测试17 入阵曲+将军令+星空
			
    T1 入阵曲 前缀和维护可以得60分 f[x1][y1][x2][y2]=sum[x2][y2]-sum[x1-1][y2]-sum[x2][y1-1]+sum[x1-1][y1-1];  O(n4) ...
    
			
    4. 
						
  4. [POI2011]Lightening Conductor(决策单调性)
			
    好久没写过决策单调性了. 这题其实就是 $p_i=\lceil\max\limits_{j}(a_j-a_i+\sqrt{|i-j|})\rceil$. 拆成两边,先只考虑 $j<i$,然后反过 ...
    
			
    5. 
						
  5. [LeetCode] 190. Reverse Bits 颠倒二进制位
			
    Reverse bits of a given 32 bits unsigned integer. Example 1: Input: 00000010100101000001111010011100 ...
    
			
    6. 
						
  6. win10下MYSQL的下载、安装以及配置超详解教程(转)
			
    下载MYSQL 官网下载MYSQL5.7.21版本,链接地址https://www.mysql.com/downloads/.下载流程图如下: 进入官网点击Community,下载社区版. 找到MYS ...
    
			
    7. 
						
  7. 用友U8将存货核算期初单价金额回写到库存管理期初单价金额
			
    在用友U8及相关产品中,库存管理期初要求必须录入数量,但单价和金额并不是必输的.从本人过去实施经验来看,为了保证ERP产品的快速上线,有不少企业只能先提供库存管理期初数量,而单价金额需要后续才能确定. ...
    
			
    8. 
						
  8. PostMan测试REST接口时候,如何绕过登录的验证
			
    原文地址:https://blog.csdn.net/qq_34178998/article/details/80361315 之前测试的时候,需要页面进行登录之后,才能让访问后台程序,但是在进行接口 ...
    
			
    9. 
						
  9. PHP for的1个问题
			
    PHP for的1个问题 <pre><?php for ($k = 13; $k > 0; $k--) { echo 'wef'; }?></pre>ps:  ...
    
			
    10. 
						
  10. laravel框架模型model的创建与使用方法
			
    这篇文章给大家介绍的内容是关于laravel框架模型model的创建与使用方法,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助. 1.创建model 2. 1 2 3 4 5 6 7 8 ...
    
			
    11.