欢迎来到站长教程网!

Nginx

当前位置:主页 > 服务器教程 > Nginx >

Nginx设置多个HTTPS域名的要领

时间:2021-05-04|栏目:Nginx|点击:

最近在玩微信小措施,手头有:

  1. 一台云处事器:CentOS 7
  2. 多个一级域名

开拓测试进程中,因为某些原因,想要让手头的A、B域名同时指向云处事器的443端口,支持HTTPS。

Nginx支持TLS协议的SNI扩展(同一个IP上可以支持多个差异证书的域名),只需要从头安装Nginx,使其支持TLS即可。

安装Nginx

[root]# wget http://nginx.org/download/nginx-1.12.0.tar.gz
[root]# tar zxvf nginx-1.12.0.tar.gz
[root]# cd nginx-1.12.0
[root]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module \
--with-openssl=./openssl-1.0.1e \
--with-openssl-opt="enable-tlsext"

备注:在安装的进程中发明,云处事器的情况中缺少一些库,下载后,从头执行Nginx的./configure指令,详细操纵如下:

[root]# wget https://nchc.dl.sourceforge.net/project/pcre/pcre/8.35/pcre-8.35.tar.gz
[root]# tar zxvf pcre-8.35
[root]# yum -y install gcc
[root]# yum -y install gcc-c++
[root]# yum install -y zlib-devel

[root]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module \
--with-openssl=./openssl-1.0.1e \
--with-openssl-opt="enable-tlsext" \
--with-pcre=./pcre-8.35

设置Nginx

在购置域名的时候,假如域名提供商有免费的SSL证书,就直接用;假如没有的话,可以利用 Let's Encript 生成免费的CA证书。

打开Nginx的设置:vi /etc/nginx/nginx.conf

  ...
  server {
    listen    443 ssl;
    listen    [::]:443 ssl;
    server_name abc.com;
    root     /usr/share/nginx/html;

    ssl_certificate "/root/keys/abc.com.pem";
    ssl_certificate_key "/root/keys/abc.com.private.pem";
    include /etc/nginx/default.d/*.conf;

    location / {
    }
    error_page 404 /404.html;
      location = /40x.html {
    }
    error_page 500 502 503 504 /50x.html;
      location = /50x.html {
    }
  }

  server {
    listen    443 ssl;
    listen    [::]:443 ssl;
    server_name def.com;
    root     /usr/share/nginx/html;

    ssl_certificate "/root/keys/def.com.pem";
    ssl_certificate_key "/root/keys/def.com.private.pem";
    include /etc/nginx/default.d/*.conf;

    location / {
    }
    error_page 404 /404.html;
      location = /40x.html {
    }
    error_page 500 502 503 504 /50x.html;
      location = /50x.html {
    }
  }

设置完成后,从头加载Ngixn:nginx -s reload

申请免费的CA证书

对付没有SSL证书的环境,可以用下面的要领免费得到CA证书——Let's Encript。

步调1: 安装 Let's Encrypt 官方客户端——CetBot

[root]# yum install -y epel-releasesudo 
[root]# yum install -y certbot

步调2: 设置Nginx的设置文件,在 Server 模块(监听80端口的)添加下面设置:

CertBot在验证处事器域名的时候,会生成一个随机文件,然后CertBot的处事器会通过HTTP会见你的这个文件,因此要确保你的Nginx设置好,以便可以会见到这个文件。

server {
   listen    80 default_server;

   ...

  location ^~ /.well-known/acme-challenge/ {  
    default_type "text/plain";  
    root   /usr/share/nginx/html;
  }

  location = /.well-known/acme-challenge/ {  
    return 404;
  }
}

从头加载Nginx: nginx -s reload

步调3: 申请SSL证书

[root]# certbot certonly --webroot -w /usr/share/nginx/html/ -d your.domain.com

安装进程中,会提示输入邮箱,用于更新CA证书的。

安装乐成后,默认会在 /etc/letsencrypt/live/your.domain.com/ 会生成CA证书。

|-- fullchain.pem 
|-- privkey.pem

步调4: 设置Nginx

server {
  listen    443 ssl;
  listen    [::]:443 ssl;
  server_name def.com;
  root     /usr/share/nginx/html;

  ssl_certificate "/etc/letsencrypt/live/your.domain.com/fullchain.pem";
  ssl_certificate_key "/etc/letsencrypt/live/your.domain.com/privkey.pem";
  include /etc/nginx/default.d/*.conf;

  location / {
  }
  error_page 404 /404.html;
    location = /40x.html {
  }
  error_page 500 502 503 504 /50x.html;
    location = /50x.html {
  }
}

设置完,从头加载Nginx

步调5: 自动更新证书

在呼吁行先举办模仿更新证书

certbot renew --dry-run

假如模仿更新乐成,则 利用 crontab -e 呼吁来启用自动更新任务:

[root]# crontab -e
30 2 * * 1 /usr/bin/certbot renew >> /var/log/le-renew.log

相关参考

  1. Let's Encript 
  2. Nginx下载毗连 
  3. crontab

上一篇:nginx 负载平衡的三种参数配置

栏    目:Nginx

下一篇:Nginx防备流量进攻的设置详解

本文标题:Nginx设置多个HTTPS域名的要领

本文地址:www.jiaocheng88.com.cn/Nginx/61884.html

广告投放 | 联系我们 | 版权申明

重要申明:本站所有的文章、图片、评论等,均由网友发表或上传并维护或收集自网络,属个人行为,与本站立场无关。

如果侵犯了您的权利,请与我们联系,我们将在24小时内进行处理、任何非本站因素导致的法律后果,本站均不负任何责任。

联系QQ:584415406 | 邮箱:584415406#qq.com(#换成@)

Copyright © 2015-2020 小白站长教程网 版权所有 苏ICP备20040415号-3