ssl配置https

ssl配置https

六月 07, 2018

网站开启https需要的哪几步

  • 了解https与ssl的关系
  • 申请一个ssl证书
  • 绑定ssl到你的web网站配置中

https

https一种tcp/ip网络协议,可以使网站信息传输更安全。要启用这种协议,需要一种数字证明证书,也就是由拥有相关资质认证的结构颁发的 SSL证书

https通常是收费的,其中免费的比较出名的有StarSSL证书,申请和续期证书的步骤都比较繁琐,后来随着证书过期,于是放弃……

目前全网最火的免费SSL证书非Let’s Encrypt 莫属,因为其下载和安装已经是傻瓜式。

Let’s Encrypt 是一个于2015年末推出的免费、自动化、开放的证书签发服务的数字证书认证机构。它的申请和续期都非常方便,默认的证书有效期是90天,可以通过定时任务实现自动续签,

安装 SSL 证书(Let’s Encrypt)

  1. 安装 git 工具

连接上 VPS 后,在 Xshell 上粘贴命令(每条命令用鼠标右键复制粘贴,回车执行即可。不支持 ctrl+v 粘贴):

1
>yum install git

  1. 下载证书包

    1
    >git clone https://github.com/certbot/certbot /opt/letsencrypt
  2. 进入证书目录

1
2
3
4
# 进入根目录
cd /
# 进入刚下载的certbot文件夹
cd /opt/letsencrypt

申请ssl证书的工具certbot,刚才已经下载下来,并进入到了对应的目录,接下来开始生成ssl证书

1
2
3
4
# 注意 其中 [email protected] 改成你自己的邮箱
# 注意 其中 www.example.com 改成你自己的域名
# 注意 其中 example.com 改成你自己的域名,不带 www
./certbot-auto certonly --standalone --email [email protected] -d www.example.com -d example.com

在生成证书的时候可能会遇到一个问题

1
2
Problem binding to port 443: Could not bind to IPv4 or IPv6.. Skipping
# 这是因为 nginx 服务没有关闭,需要关闭,关闭方法放在文尾

证书生成成功后悔存在这几个目录

1
2
3
4
/etc/letsencrypt/live/www.example.net/fullchain.pem  (公钥)
/etc/letsencrypt/live/www.example.net/privkey.pem (私钥)
/etc/letsencrypt/live/www.example.net/cert.pem
/etc/letsencrypt/live/www.example.net/chain.pem

可能遇到的问题汇总


nginx未关闭,关闭方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 关闭nginx server
service nginx stop

# 查询nginx进程:ps -ef | grep nginx

[[email protected] /]# ps -ef | grep nginx
root 1398 1263 0 May16 pts/0 00:00:00 vi nginx.conf
root 10342 10308 0 May18 pts/1 00:00:00 vi nginx.conf
root 32663 1 0 02:53 ? 00:00:00 nginx: master process nginx
nginx 32664 32663 0 02:53 ? 00:00:00 nginx: worker process
root 32666 31506 0 02:53 pts/3 00:00:00 grep --color=auto nginx

# 结束nginx进程
kill -QUIT 32663

查看https是否生效

DNS解析报错

1
DNS problem: NXDOMAIN looking up A for example.com

出现这个问题原因可能是:

  1. 刚刚解析了A记录,解析服务器还没有生效(因为我使用的是阿里云的解析,一分钟内基本都会生效,这种情况一般不会出现,使用浏览器可以访问)

  2. 服务器本地 DNS缓存未更新


解决办法:

  1. 首先确定域名解析A记录是否生效
1
2
3
4
5
6
# ping主机
$ ping ifredom.com
$ ping www.ifredom.com

# 如果无法ping通,先检查dns解析问题,检查你的域名解析是否正确
# 域名解析没问题,则检查服务器的firewall(防火墙)设置
  1. 更新DNS缓存
  • 不建议直接 network restart

  • 可以使用nscd .如果系统没装装一下,nscd做DNS缓存加速很有用。

  • centos : yum install nscd

  • ubuntu :apt-get install nscd

如果已经装了直接更新

1
2
3
4
# 主要是hosts
$ nscd -i passwd
$ nscd -i group
$ nscd -i hosts

nginx操作指令

1
2
3
4
nginx -t                   # 检查配置
nginx -s reload # 重新载入配置文件
nginx -s reopen # 重启 Nginx
nginx -s stop # 停止 Nginx

找不到IPV6地址

CentOS, RHEL系统

OPV6配置文件地址: /etc/sysconfig/network-scripts/ifcfg-eth0


1
2
3
4
5
6
7
8
9
10
11
12
13
DEVICE="eth0"
BOOTPROTO="dhcp"
ONBOOT="yes"
TYPE="Ethernet"
NM_CONTROLLED="no"
IPV6_AUTOCONF="yes"
IPV6INIT="yes"

IPV6ADDR="2001:DB8:XXXX::100/64"
IPV6ADDR_SECONDARIES="2001:19f0:4009:XXXX::1234/64"

NOZEROCONF="yes"
ZONE=public

最后附上完整nginx配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87

# For more information on configuration, see:
# * Official English Documentation: http://nginx.org/en/docs/
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

include /usr/share/nginx/modules/*.conf;

events {
worker_connections 1024;
}

http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';

access_log /var/log/nginx/access.log main;

sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 30;
types_hash_max_size 2048;

include /etc/nginx/mime.types;
default_type application/octet-stream;

include /etc/nginx/conf.d/*.conf;

server {
listen 80 default_server;
listen [::]:80 default_server;
server_name iicongcong.cool;

# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;

location / {
root /usr/share/nginx/html;
index index.html index.htm;
}

error_page 404 /404.html;
location = /40x.html {
}

error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}

# Settings for a TLS enabled server.

server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name www.ifredom.com;

ssl_certificate "/etc/letsencrypt/live/www.ifredom.com/fullchain.pem";
ssl_certificate_key "/etc/letsencrypt/live/www.ifredom.com/privkey.pem";

ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;

# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;

location / {
root /usr/share/nginx/html;
index index.html index.htm;
}

error_page 404 /404.html;
location = /40x.html {
}

error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}

}