当前位置: 移动技术网 > 网络运营>服务器>nginx > Nginx配置多个HTTPS域名的方法

Nginx配置多个HTTPS域名的方法

2019年04月18日  | 移动技术网网络运营  | 我要评论

放过朕吧爱卿们,黑执事漫画完结了吗,顶针联大全

最近在玩微信小程序,手头有:

  1. 一台云服务器:centos 7
  2. 多个一级域名

开发测试过程中,因为某些原因,想要让手头的a、b域名同时指向云服务器的443端口,支持https。

nginx支持tls协议的sni扩展(同一个ip上可以支持多个不同证书的域名),只需要重新安装nginx,使其支持tls即可。

安装nginx

[root]# wget http://nginx.org/download/nginx-1.12.0.tar.gz
[root]# tar zxvf nginx-1.12.0.tar.gz
[root]# cd nginx-1.12.0
[root]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module \
--with-openssl=./openssl-1.0.1e \
--with-openssl-opt="enable-tlsext"

备注:在安装的过程中发现,云服务器的环境中缺少一些库,下载后,重新执行nginx的./configure指令,具体操作如下:

[root]# wget https://nchc.dl.sourceforge.net/project/pcre/pcre/8.35/pcre-8.35.tar.gz
[root]# tar zxvf pcre-8.35
[root]# yum -y install gcc
[root]# yum -y install gcc-c++
[root]# yum install -y zlib-devel

[root]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module \
--with-openssl=./openssl-1.0.1e \
--with-openssl-opt="enable-tlsext" \
--with-pcre=./pcre-8.35

配置nginx

在购买域名的时候,如果域名提供商有免费的ssl证书,就直接用;如果没有的话,可以使用 let's encript 生成免费的ca证书。

打开nginx的配置:vi /etc/nginx/nginx.conf

  ...
  server {
    listen    443 ssl;
    listen    [::]:443 ssl;
    server_name abc.com;
    root     /usr/share/nginx/html;

    ssl_certificate "/root/keys/abc.com.pem";
    ssl_certificate_key "/root/keys/abc.com.private.pem";
    include /etc/nginx/default.d/*.conf;

    location / {
    }
    error_page 404 /404.html;
      location = /40x.html {
    }
    error_page 500 502 503 504 /50x.html;
      location = /50x.html {
    }
  }

  server {
    listen    443 ssl;
    listen    [::]:443 ssl;
    server_name def.com;
    root     /usr/share/nginx/html;

    ssl_certificate "/root/keys/def.com.pem";
    ssl_certificate_key "/root/keys/def.com.private.pem";
    include /etc/nginx/default.d/*.conf;

    location / {
    }
    error_page 404 /404.html;
      location = /40x.html {
    }
    error_page 500 502 503 504 /50x.html;
      location = /50x.html {
    }
  }

配置完成后,重新加载ngixn:nginx -s reload

申请免费的ca证书

对于没有ssl证书的情况,可以用下面的方法免费获得ca证书——let's encript。

步骤1: 安装 let's encrypt 官方客户端——cetbot

[root]# yum install -y epel-releasesudo 
[root]# yum install -y certbot

步骤2: 配置nginx的配置文件,在 server 模块(监听80端口的)添加下面配置:

certbot在验证服务器域名的时候,会生成一个随机文件,然后certbot的服务器会通过http访问你的这个文件,因此要确保你的nginx配置好,以便可以访问到这个文件。

server {
   listen    80 default_server;

   ...

  location ^~ /.well-known/acme-challenge/ {  
    default_type "text/plain";  
    root   /usr/share/nginx/html;
  }

  location = /.well-known/acme-challenge/ {  
    return 404;
  }
}

重新加载nginx: nginx -s reload

步骤3: 申请ssl证书

[root]# certbot certonly --webroot -w /usr/share/nginx/html/ -d your.domain.com

安装过程中,会提示输入邮箱,用于更新ca证书的。

安装成功后,默认会在 /etc/letsencrypt/live/your.domain.com/ 会生成ca证书。

|-- fullchain.pem 
|-- privkey.pem

步骤4: 配置nginx

server {
  listen    443 ssl;
  listen    [::]:443 ssl;
  server_name def.com;
  root     /usr/share/nginx/html;

  ssl_certificate "/etc/letsencrypt/live/your.domain.com/fullchain.pem";
  ssl_certificate_key "/etc/letsencrypt/live/your.domain.com/privkey.pem";
  include /etc/nginx/default.d/*.conf;

  location / {
  }
  error_page 404 /404.html;
    location = /40x.html {
  }
  error_page 500 502 503 504 /50x.html;
    location = /50x.html {
  }
}

配置完,重新加载nginx

步骤5: 自动更新证书

在命令行先进行模拟更新证书

certbot renew --dry-run

如果模拟更新成功,则 使用 crontab -e 命令来启用自动更新任务:

[root]# crontab -e
30 2 * * 1 /usr/bin/certbot renew >> /var/log/le-renew.log

相关参考

  1. let's encript 

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持移动技术网。

您可能感兴趣的文章:

如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网