当前位置:   article > 正文

Nginx 配置 https相关问题

nginx well-known文件夹是干嘛的

一、Nginx基础

1.概念:
Nginx是一款轻量级的Web服务器、反向代理服务器及电子邮件(IMAP/POP3)代理服务器。
  • 正向代理服务器:一般作用在客户端,位于客户端和服务器之间,客户端发送请求到代理,代理将请求发送到服务器,服务器返回的响应也经由代理到客户端。客户端必须要进行一些特别的设置才能使用正向代理,正向代理允许客户端通过它访问任意网站并且隐藏客户端自身。
  • 反向代理服务器:作用在服务器端,它在服务器端接收客户端的请求,然后将请求分发给具体的服务器进行处理,然后再将服务器的相应结果反馈给客户端。

二、Https基础

1.概念

Http(超文本传输协议)被用于浏览器和web 服务器之间传递消息,http协议以明文方式发送内容,不提供任何方式的数据加密,因此攻击者可以截取传输报文获取信息。
为了数据传输的安全,在http的基础上加入了ssl协议就成了https协议,ssl依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

2.SSL——Secure Sockets Layer安全套接层

SSL协议位于TCP/IP协议与各种应用层协议之间,可分为两层:
(1)SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
(2)SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议上,用于在实际的数据传输开始前,通讯双方进行身份验证、协商加密算法、交换加密密钥等。

三、获取免费证书

1.概念

采用Https的服务器必须从证书颁发机构CA(Certificate Authority)申请一个用于证明服务器用途类型的证书,有收费的也有免费的,也可以通过OpenSSL自己造一个证书,不过浏览器是不信任你自己造的证书的,在访问时,会提醒”您的连接不是私密连接“,在这我们使用的是Let's Encrypt免费证书。

2.获取步骤

(1) 安装Let's Encrypt推荐获取证书的客户端 Certbot
sudo apt-get install certbot
(2)获取证书(两种模式)

  • --webroot模式
    certbot certonly --webroot /var/www/example -d example.com -d www.example.com

这个命令会为 example.com 和 www.example.com 这两个域名生成一个证书,会在 /var/www/example 中创建 .well-known 文件夹,这个文件夹里面包含了一些验证文件,certbot 会通过访问 example.com/.well-known/acme-challenge 来验证你的域名是否绑定的这个服务器。

  • --standalone模式
    certbot certonly --standalone -d example.com -d www.example.com

这种模式不需要指定网站根目录,他会自动启用服务器的443端口来验证域名的归属,所以如果有其他服务(如nginx)占用了443端口sudo lsof -n -P|grep:443,需要先停止这些服务,在证书生成完毕后,再启用。

  • 证书生成完毕后,可以在/etc/letsencrypt/live/example.com中找到

四、Nginx配置

  1. server {
  2. listen 443;
  3. server_name example.com www.example.com;
  4. ssl on;
  5. ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
  6. ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
  7. location / {
  8. proxy_pass http://localhost:port/;
  9. proxy_redirect off;
  10. proxy_set_header Host $host;
  11. proxy_set_header X-Real-IP $remote_addr;
  12. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  13. proxy_read_timeout 600;
  14. gzip on;
  15. gzip_disable "MSIE [1-6]\.(?!.*SV1)";
  16. client_max_body_size 10M;
  17. gzip_vary on;
  18. gzip_proxied any;
  19. gzip_comp_level 6;
  20. gzip_buffers 16 8k;
  21. gzip_http_version 1.1;
  22. gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript;
  23. }
  24. }
  25. server{ //当用http://...访问时重定向至https://...
  26. listen 80;
  27. server_name example.com www.example.com;
  28. return 301 https://www.example.com;
  29. }

重启Nginx服务,即可使用https://www.example.com访问该网站

五、其他

1.自动更新证书

let's Encrypt证书只有90天的有效期,所以在证书到期之前,我们需要重新获取这些证书,可以使用certbot renew这个命令。(如果生成证书时使用--standalone模式,更新证书时也要暂停当前443端口运行的程序)

2.Nginx详细配置项解析

详见:Nginx配置文件(nginx.conf)配置详解

3.Nginx错误处理

先用sudo nginx -t检测下配置文件,再看下错误日志,之后Google。
详见:Nginx常见错误与解决办法

5.相关命令
  • 开启Nginx服务 sudo nginx -c /path/to/nginx.conf
  • 重启Nginx sudo nginx -s reload
  • 检测nignx配置 sudo nginx -t
  • 暂停nginx服务

    • ps -ef|grep nginx 查看nginx占用的进程
    • sudo kill -QUIT 28478 (28478为nginx的主进程号)
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/640018
推荐阅读
相关标签
  

闽ICP备14008679号