一:证书和私钥的生成

注意:一般生成的目录,应该放在nginx/conf/ssl目录

  • 创建服务器证书密钥文件 server.key: openssl genrsa -des3 -out server.key 1024 输入密码,确认密码,自己随便定义,但是要记住,后面会用到。

  • 创建服务器证书的申请文件 server.csr openssl req -new -key server.key -out server.csr

    输出内容为: Enter pass phrase for root.key: ← 输入前面创建的密码
    Country Name (2 letter code) [AU]:CN ← 国家代号,中国输入CN
    State or Province Name (full name) [Some-State]:BeiJing ← 省的全名,拼音
    Locality Name (eg, city) []:BeiJing ← 市的全名,拼音
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
    Organizational Unit Name (eg, section) []: ← 可以不输入
    Common Name (eg, YOUR name) []: ← 此时不输入
    Email Address []:admin@mycompany.com ← 电子邮箱,可随意填
    A challenge password []: ← 可以不输入
    An optional company name []: ← 可以不输入

  • 备份一份服务器密钥文件 cp server.key server.key.org

  • 去除文件口令 openssl rsa -in server.key.org -out server.key

  • 生成证书文件server.crt openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

二:开始Nginx的SSL模块

  • Nginx如果未开启SSL模块,配置Https时提示错误 原因也很简单,nginx缺少http_ssl_module模块,编译安装的时候带上--with-http_ssl_module配置就行了,但是现在的情况是我的nginx已经安装过了,怎么添加模块,其实也很简单,往下看: 做个说明:我的nginx的安装目录是/usr/local/nginx这个目录,我的源码包在/usr/local/src/nginx-1.6.2目录

nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:37

  • Nginx开启SSL模块 切换到源码包:

cd /usr/local/src/nginx-1.11.3 查看nginx原有的模块

/usr/local/nginx/sbin/nginx -V 在configure arguments:后面显示的原有的configure参数如下:

--prefix=/usr/local/nginx --with-http_stub_status_module 那么我们的新配置信息就应该这样写:

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module 运行上面的命令即可,等配置完

配置完成后,运行命令

make 这里不要进行make install,否则就是覆盖安装,这里如果不需要原来的nginx可以直接make install

然后备份原有已安装好的nginx

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak 然后将刚刚编译好的nginx覆盖掉原有的nginx(这个时候nginx要停止状态)

cp ./objs/nginx /usr/local/nginx/sbin/ 然后启动nginx,仍可以通过命令查看是否已经加入成功

/usr/local/nginx/sbin/nginx -V  Nginx 配置Http和Https共存

server {
            listen 80 default backlog=2048;
            listen 443 ssl;
            server_name wosign.com;
            root /var/www/html;
            ssl_certificate /usr/local/Tengine/sslcrt/ wosign.com.crt;
            ssl_certificate_key /usr/local/Tengine/sslcrt/ wosign.com .Key;
        }

把ssl on;这行去掉,ssl写在443端口后面。这样http和https的链接都可以用

Nginx SSL性能调优

        ssl_certificate      server.crt;
        ssl_certificate_key  server.key;
        ssl_session_timeout  5m;
        ssl_session_cache shared:SSL:10m;
        ssl_protocols  SSLv2 SSLv3 TLSv1;
        ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
        ssl_prefer_server_ciphers   on;

附录:

  • 环境变量的配置
    打开 /etc/profile 在最底下加入export PATH="/usr/local/nginx/sbin:$PATH",然后执行source /etc/profile生效
  • 一些常用操作
    ps -ef 查看所有进程
    ps -ef | grep nginx 查看所有nginx进程
    kill -9 ID 杀死进程
    nginx 启动nginx
    nginx -s stop 停止nginx
    nginx -t 检查配置文件是否异常
    nginx -s reload 重启nginx