前言

前段时间买了一台服务器,搞了一个博客系统,但是苦于没有SSL证书,导致访问的过程一直是没有安全证书的情况下,对于一些不搞程序的童鞋一看到访问不安全链接,立马就是提示劝退(PS:流下菜鸡的眼泪). 所以就去网上瞅了瞅,发现SSL证书贼几儿贵,对于我服务器小白来说,SSL证书的需求比重不算太高,只是想把 HTTP → HTTPS, 找来找去,发现阿里云有免费证书可以白嫖,正所谓不(qiong)嫖(de)白(dou)不(diao)嫖(zha).所以这是就使用免费的阿里云SSL证书.

具体的环境如下所示.

· 阿里云ECS
· centos 8.0
· nginx 1.14.0

申请证书

• 我们先来说一下如何免费申请证书.只要你是阿里云实名主体个人/企业，一个自然年内可以领取一次数量为20的免费证书资源包.具体的领取传送门如下所示.

阿里云SSL证书领取传送门

• 领取形式如下图所示.

• 然后我们进入阿里云控制台的SSL证书模块.然后选择云盾SSL证书,如下图所示.

• 然后选择证书申请,这里我已经申请了两个了,所以就只剩下18次了.如下图所示.

• 如下图,点击单域名模式,然后点击确定即可.

• 然后下面列表就会出现一条你申请的证书记录,点击证书记录后面的"证书申请"即可.

• 接下来就是配置一些基本信息,如下图所示.这里证书绑定域名就选择你需要绑定的域名即可. 例如我想让 www.coder-dong.com 生成证书,填写 www.coder-dong.com 即可. CSR生成方法关闭手动填写即可,让阿里云直接自动生成即可,最后点击下一步.

• 然后需要去你的域名那添加一条解析记录,并且进行验证.解析信息都在这个页面上了,如果你的域名在当前阿里云账号上,那么它会帮你自动添加解析记录,然后点击验证即可.

image

• 对于阿里云当前账号则不需要手动添加,如果是其他账号或者是别的运营方申请的域名则需要手动自己添加.假设记录值数据如下所示.那么添加解析记录的时候就如图所示即可.

记录值 : TXT
主机记录 : XXXXXX
记录值 : YYYYYY

• 添加完成之后,验证成功状态如下图所示.

• 签发完成之后我们点击SSL证书列表当前证书记录后面的 "下载" 按钮来下载证书和秘钥. 如下图所示.

• 然后选择Nginx下载即可,具体如下图所示.

• 下载好了,解压文件就得到一个.pem证书文件,一个.key秘钥文件,具体如下所示.这两个文件我们都需要上传到我们的服务器中,上传过程就不过多叙述了,我使用的是rz命令进行文件的上传.

• ❗️❗️❗️证书正好了之后,我们需要开启服务器的 443 端口.这一步非常重要,这里我们需要去安全组中进行配置.

image

Nginx配置

• 首先我们先把.pem证书文件和.key秘钥文件上传到服务器上去.由于网上教程的原因,我也在配置文件目录下创建的了 cert 的文件夹,并且把证书我恩建和秘钥文件上传到该文件夹下了.

• 然后我们需要在Nginx的配置文件nginx.conf配置证书信息.假设我们申请的证书单域名为 www.coder-dong.com, 那么需要在http这个下添加一个443端口的serve模块.配置如下所示.

    server {
        listen       443;
        server_name  www.coder-dong.com;
        ssl on;# 打开SSL

        ssl_certificate cert/www.coder-dong.com.pem; # 证书路径
        ssl_certificate_key cert/www.coder-dong.com.key; # 秘钥路径

        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;#表示使用的加密套件的类型。
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型。
        ssl_prefer_server_ciphers on;
        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
           root   html;
           index  index.html index.htm;
           proxy_pass http://127.0.0.1:8000; # 443端口指向本地的8000端口
        }
    }

• 如上配置完成之后我们就重启Nginx就可以使用 https://www.coder-dong.com 来访问我们的本地8000端口了,但是我们平常访问哪里会加 https 的前缀,都是直接访问域名,所以这里我们还需要把常用的 80 端口的访问重定向到 443 端口,假设我们想只输入 www.coder-dong.com 就能访问 443端口,那么我们还需要在Nginx中http模块添加 server 模块,具体配置如下所示.

    # 关于模块中 rewrite 的具体使用,请自行百度.或者直接照葫芦画瓢抄袭即可.
    server {
         listen 80;
         server_name www.coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
         rewrite ^/(.*) https://www.coder-dong.com/$1 permanent;  #将所有HTTP请求通过rewrite指令重定向到HTTPS。
    }

• 再例如,我想把 coder-dong.com 也映射到 443 端口,配置和上面类似.

   server {
         listen 80;
         server_name coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
         rewrite ^/(.*) https://www.coder-dong.com/$1 permanent;  #将所有HTTP请求通过rewrite指令重定向到HTTPS。
    }

• OK,这样就算完成了,最后保存退出,然后重启Nginx即可.我们就配置完成了.

• 当然了,这里我们上面所有的配置罗列出来,供大家参考.

http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;

    server {
         listen 80;
         server_name www.coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
         rewrite ^/(.*) https://www.coder-dong.com/$1 permanent;  #将所有HTTP请求通过rewrite指令重定向到HTTPS。
    }

    server {
         listen 80;
         server_name coder-dong.com; #需要将yourdomain.com替换成证书绑定的域名。
         rewrite ^/(.*) https://www.coder-dong.com/$1 permanent;  #将所有HTTP请求通过rewrite指令重定向到HTTPS。
    }

    server {
        listen       443;
        server_name  www.coder-dong.com;
        ssl on;

        ssl_certificate cert/coderdong.pem;
        ssl_certificate_key cert/coderdong.key;

        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;#表示使用的加密套件的类型。
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型。
        ssl_prefer_server_ciphers on;

        location / {
           root   html;
           index  index.html index.htm;
           proxy_pass http://127.0.0.1:8000;
        }
    }
}

结语

SSL证书的配置整体来说还是比较简单的,如果喜欢骚栋,欢迎点赞关注,如果有任何问题,可以评论留言.感谢各位大佬的阅读了.

image