Nginx高级配置-实现多域名HTTPS

                                       作者:尹正杰

版权声明:原创作品,谢绝转载!否则将追究法律责任。

一.Nginx支持基于单个IP实现多域名的功能

  Nginx支持基于单个IP实现多域名的功能,并且还支持单IP多域名的基础之上实现HTTPS,这一点Apache Httpd是不支持的,其实是基于Nginx的SNI(Server Name Indication)功能实现,SNI是为了解决一个Nginx服务器内使用一个IP绑定多个域名和证书的功能,其具体功能是客户端在连接到服务器建立SSL链接之前先发送要访问站点的域名(Hostname),这样服务器再根据这个域名返回给客户端一个合适的证书。

  其实配置基于单个IP实现多域名的HTTPS方式也就是重复单个网站的https配置相应步骤。我的实验环境是在基于Nginx配置单个网站的https(博客链接:https://www.cnblogs.com/yinzhengjie/p/12052401.html),也就是上一次试验基础之上继续后续的步骤。




二.生成自签名证书


1>.生成"mobile.yinzhengjie.org.cn"网站使用的密钥对




[root@node101.yinzhengjie.org.cn ~]# cd /yinzhengjie/softwares/nginx/certs/

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 24

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout mobile.yinzhengjie.org.cn.key -out mobile.yinzheng

jie.org.cn.csrGenerating a 4096 bit RSA private key

.......................................................................................................................++

................................................................++

writing new private key to 'mobile.yinzhengjie.org.cn.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:beijing

Locality Name (eg, city) [Default City]:beijing

Organization Name (eg, company) [Default Company Ltd]:yinzhengjie

Organizational Unit Name (eg, section) []:devops

Common Name (eg, your name or your server's hostname) []:mobile.yinzhengjie.org.cn        #这里写网站的主机名称

Email Address []:y1053419035@qq.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:                                           #这里不要写密码

An optional company name []:

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 32

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr               #是一个公钥,即证书请求文件

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key               #私钥

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# 




2>.签发证书




[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 32

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# openssl x509 -req -days 3650 -in mobile.yinzhengjie.org.cn.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out mobile.yinzhengjie.org.cn.crt
Signature ok

subject=/C=CN/ST=beijing/L=beijing/O=yinzhengjie/OU=devops/CN=mobile.yinzhengjie.org.cn/emailAddress=y1053419035@qq.com

Getting CA Private Key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 36

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 10:19 ca.srl

-rw-r--r-- 1 root root 2049 Dec 22 10:19 mobile.yinzhengjie.org.cn.crt            #已经被自己的CA服务器签发的证书文件

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# 




三.Nginx证书配置


1>.查看主配置文件




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf/nginx.conf

worker_processes  4;

worker_cpu_affinity 00000001 00000010 00000100 00001000; 

events {

   worker_connections  100000;

   use epoll;

   accept_mutex on;

   multi_accept on;

}

   http {

     include       mime.types;

     default_type  text/html;

     charset utf-8;

     log_format my_access_json '{"@timestamp":"$time_iso8601",' '"host":"$server_addr",' '"clientip":"$remote_addr",' '"size":$body_bytes_sent,' '"responsetime":$request_ti

me,' '"upstreamtime":"$upstream_response_time",' '"upstreamhost":"$upstream_addr",' '"http_host":"$host",' '"uri":"$uri",' '"domain":"$host",' '"xff":"$http_x_forwarded_for",' '"referer":"$http_referer",' '"tcp_xff":"$proxy_protocol_addr",' '"http_user_agent":"$http_user_agent",' '"status":"$status"}';

    access_log logs/access_json.log my_access_json;

    ssl_certificate /yinzhengjie/softwares/nginx/certs/www.yinzhengjie.org.cn.crt;

    ssl_certificate_key /yinzhengjie/softwares/nginx/certs/www.yinzhengjie.org.cn.key;

    ssl_session_cache shared:sslcache:20m;

    ssl_session_timeout 10m;

    include /yinzhengjie/softwares/nginx/conf.d/*.conf;

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ll /yinzhengjie/softwares/nginx/conf.d/

total 8

-rw-r--r-- 1 root root 186 Dec 22 09:22 https.conf              #这个配置文件就是我们上一篇博客配置的内容

-rw-r--r-- 1 root root 438 Dec 22 10:25 mobile.conf              #这个配置是咱们新配置的域名

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 








[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/https.conf

server {

    listen 80;

    listen 443 ssl;

    server_name www.yinzhengjie.org.cn;

    location / {

       root /yinzhengjie/data/web/nginx/static;

       index index.html;

    }

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]# 




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/https.conf


2>.编辑mobile的配置文件支持https功能




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/mobile.conf

server {

    listen 80;

    listen 443 ssl;

    server_name mobile.yinzhengjie.org.cn;

    ssl_certificate /yinzhengjie/softwares/nginx/certs/mobile.yinzhengjie.org.cn.crt;

    ssl_certificate_key /yinzhengjie/softwares/nginx/certs/mobile.yinzhengjie.org.cn.key;

    ssl_session_cache shared:sslcache:20m;

    ssl_session_timeout 10m;   

    location / {

       root /yinzhengjie/data/web/nginx/mobile;

       index index.html;

    }

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 




3>.创建mobile网站的测试数据




[root@node101.yinzhengjie.org.cn ~]# mkdir -pv /yinzhengjie/data/web/nginx/mobile

mkdir: created directory ‘/yinzhengjie/data/web/nginx/mobile’

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# vim /yinzhengjie/data/web/nginx/mobile/index.html

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/data/web/nginx/mobile/index.html

<!doctype html>

<html lang="en">

<head>

    <meta charset="UTF-8" />

    <title>尹正杰的网页</title>

    <style type="text/css">

        h1{

            background-color: red;

            margin: 0;

            float: right;

            color: yellow;

        }

    </style>

</head>

<body>

     <h1>我的博客地址:https://www.cnblogs.com/yinzhengjie</H1>

</body>

</html>

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 




4>.重新加载nginx的配置文件




[root@node101.yinzhengjie.org.cn ~]# ps -ef | grep nginx | grep -v grep

root      9901     1  0 09:28 ?        00:00:00 nginx: master process nginx

nginx     9902  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9903  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9904  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9905  9901  0 09:28 ?        00:00:00 nginx: worker process

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -s reload

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ps -ef | grep nginx | grep -v grep

root      9901     1  0 09:28 ?        00:00:00 nginx: master process nginx

nginx    24916  9901  4 10:41 ?        00:00:00 nginx: worker process

nginx    24917  9901  5 10:41 ?        00:00:00 nginx: worker process

nginx    24918  9901  5 10:41 ?        00:00:00 nginx: worker process

nginx    24919  9901  5 10:41 ?        00:00:00 nginx: worker process

[root@node101.yinzhengjie.org.cn ~]# 




5>.客户端浏览器分别访问"http://mobile.yinzhengjie.org.cn/"和"https://mobile.yinzhengjie.org.cn/"


												


											
Nginx 高级配置-实现多域名HTTPS的更多相关文章
	

    
								
  1. Nginx 高级配置-https 功能
		
    Nginx 高级配置-https 功能 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.HTTPS工作过程 1>.SSL/TLS SSL(Secure Socket Lay ...
    
		
    2. 
						
  2. Nginx 高级配置--关于favicon.ico
		
    Nginx 高级配置--关于favicon.ico 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.浏览器会默认帮咱们访问官网的图标 1>.浏览器访问网站"htt ...
    
		
    3. 
						
  3. Nginx 高级配置-压缩功能
		
    Nginx 高级配置-压缩功能 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.Nginx压缩相关参数概述 1>.gzip on | off; Nginx支持对指定类型的文 ...
    
		
    4. 
						
  4. Nginx 高级配置-自定义json格式日志
		
    Nginx 高级配置-自定义json格式日志 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 在大数据运维工作中,我们经常会使用flume,filebeat相关日志收集工具取收集日志 ...
    
		
    5. 
						
  5. Nginx 高级配置-变量使用
		
    Nginx 高级配置-变量使用 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任.  nginx的变量可以在配置文件中引用,作为功能判断或者日志等场景使用,变量可以分为内置变量和自定义变 ...
    
		
    6. 
						
  6. Nginx 高级配置-第三方模块编译
		
    Nginx 高级配置-第三方模块编译 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 第三模块是对nginx 的功能扩展,第三方模块需要在编译安装Nginx 的时候使用参数--add ...
    
		
    7. 
						
  7. Ubuntu Nginx下配置网站ssl实现https访问
		
    最近在看  HTTP权威指南   看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介 什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...
    
		
    8. 
						
  8. Nginx 高级配置-状态页配置
		
    Nginx 高级配置-状态页配置 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 建议将nginx的监控状态的值通过zabbix或者Open-Falcon之类的监控工具来监控状态,并 ...
    
		
    9. 
						
  9. Nginx高级配置,同1台机器部署多个tomcat、配置多个域名,每个域名指向某一个tomcat下的项目,共用Nginx80端口访问;
		
    需求说明: 只有一台服务器和一个公网IP,多个项目部署在这台机器上面,且每个项目使用一个单独的域名访问,域名访问时都通过Nginx的80端口访问.(如下图所示) 配置过程: 一.tomcat的serv ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. NLP之关键词提取(TF-IDF、Text-Rank)
			
    1.文本关键词抽取的种类: 关键词提取方法分为有监督.半监督和无监督三种,有监督和半监督的关键词抽取方法需要浪费人力资源,所以现在使用的大多是无监督的关键词提取方法. 无监督的关键词提取方法又可以分为 ...
    
			
    2. 
						
  2. 【转】使用Hibernate的好处是什么?
			
    一.Hibernate是JDBC的轻量级的对象封装,它是一个独立的对象持久层框架,和App Server,和EJB没有什么必然的联系.Hibernate可以用在任何JDBC可以使用的场合,例如Java ...
    
			
    3. 
						
  3. 第25课 std::thread对象的析构
			
    一. 线程的等待与分离 (一)join和detach函数 1. 线程等待:join() (1)等待子线程结束,调用线程处于阻塞模式. (2)join()执行完成之后,底层线程id被设置为0,即join ...
    
			
    4. 
						
  4. C# Thread.Abort方法与ThreadAbortException异常(取消线程与异常处理)
			
    1.Abort当前线程,后续程序不会执行 class Program { public static Thread thread1; static void Main(string[] args) { ...
    
			
    5. 
						
  5. Econ 493 A1 - Fall 2019
			
    Econ 493 A1 - Fall 2019Homework 4Assignment InformationThis assignment is due on Monday November 18  ...
    
			
    6. 
						
  6. 通过JS下载 or 唤起App
			
    判断唤起app的连接是否在WeChat中打开 let isWeiXin = navigator.userAgent.toLowerCase().indexOf('micromessenger') != ...
    
			
    7. 
						
  7. Hbase put写入源码分析
			
    今天有空闲时间看一下HBASE的写入代码 MutiAction类,是一个action的container,包括get . put. delete.并且是根据region name分组的.其中核心的就是 ...
    
			
    8. 
						
  8. json工具类(三)——net包
			
    package com.ruoyi.common.utils.json; import java.util.List; import java.util.Map; import net.sf.json ...
    
			
    9. 
						
  9. C++ 中 string和char* 的区别
			
    C++ 中 string和char* 的区别 1.定义: string:string是STL当中的一个容器,对其进行了封装,所以操作起来非常方便. char*:char *是一个指针,可以指向一个字符 ...
    
			
    10. 
						
  10. SpringBoot整合PageHelper做多条件分页查询
			
    https://yq.aliyun.com/articles/619586 本篇博客讲述如何在SpringBoot中整合PageHelper,如何实现带多个条件,以及PageInfo中的属性的中文解释 ...
    
			
    11.