阿裡雲LINUX伺服器配置HTTPS(NGINX)

 本文首發於：http://www.fengzheng.pub/archives/238.html 

背景說明

伺服器為阿裡雲 ECS，操作系統為 CentOS 6.5。

部署配置說明

第一步，安裝nginx

之所以要先安裝 nginx，是因為下麵配置功能變數名稱解析的時候可以直接在瀏覽器看到效果，當然了，先配置功能變數名稱，然後 ping 一下也是可以的

下載Nginx源碼包，解壓源碼包，進入解壓後的目錄，編譯配置，命令如下：

./configure --prefix=/usr/local/nginx  --with-http_ssl_module

以上命令將nginx安裝到usr/local/nginx目錄下，並啟動ssl功能。事先確保伺服器已安裝open-ssl包，如沒安裝可用如下命令線上安裝：

yum -y install openssl openssl-devel，除此之外還需要PCRE、zlib。

然後執行make  && make install命令開始編譯安裝，直到提示安裝成功即可。可到/usr/local/nginx/sbin目錄下輸入./nginx命令，即可以預設配置文件啟動，如果需要指定配置文件，則用如下命令：

./nginx -t -c /usr/local/data/my-nginx.conf  ，檢查配置文件並指定一個配置文件。

安裝過程中可能會提示缺少其它依賴包，根據提示安裝即可。

如果不幸的是，之前已經安裝了nginx,但是沒有編譯ssl模塊，那可以根據這篇文章，重新將ssl模塊編譯進去。

啟動之後，如果不出意外，可以訪問伺服器，看到 nginx 預設頁面。

第二步，申請及解析功能變數名稱

為什麼要申請功能變數名稱，這就不多說了，網站想要外部訪問，總得有個功能變數名稱吧，難不成直接用 IP 訪問嗎。就算你非得用 IP訪問，那對不起，下麵配置 HTTPS證書的時候需要填寫功能變數名稱。

• 登錄阿裡雲-萬網，查詢你要註冊的功能變數名稱，如果沒有被註冊的話， 可以直接購買，好的功能變數名稱早就被功能變數名稱倒手或者註冊商自己搶註了，一般的功能變數名稱，比如以公司名稱、產品名稱全拼、縮寫的功能變數名稱，一般是不會有人註冊，這樣的功能變數名稱也相對便宜，基本一年不會過百的。

   

• 購買完功能變數名稱後，需要完成一系列相關信息的填寫，可按提示完成即可。然後進行功能變數名稱解析

  1. 進入雲解析，這裡會看到所具有的萬網功能變數名稱，選中一個功能變數名稱，點擊下方的“添加解析”按鈕。

  

  1. 跳轉到解析設置頁面，其中記錄類型預設為 A 即可；

     主機記錄如果是二級功能變數名稱，例如fengzheng.pub ,這裡要填寫www，如果是三級功能變數名稱，例如api.fengzheng.pub，這裡則要填api；

     記錄值即對應的伺服器 IP，點擊添加即可。一般是一分鐘內生效。

     

  2. 通過剛剛配置好的解析，例如 www.fengzheng.pub 即可訪問這個功能變數名稱指向的伺服器。第一步安裝了 nginx ，那麼現在訪問這個功能變數名稱，應該會出現 nginx 預設頁面。如果提示 DNS 解析有問題，可能是本地或 DNS 服務商有緩存，清除緩存或等一段時間後再嘗試。

第三步 申請 SSL 證書

• 進入阿裡雲控制台，“安全（雲盾）”下的“證書服務”，點擊購買證書，選擇免費型 DV SSL，按提示走就可以，反正不用花錢的。

• 接下來到我的訂單頁面，看到證書狀態是“待完成”，點擊“補全”鏈接

  

• 接下來要求輸入一個功能變數名稱，因為免費證書只支持一個功能變數名稱，這裡可以寫你申請的功能變數名稱或者子功能變數名稱也可以，例如a.com或者api.a.com。

• 之後填寫個人信息，這裡有個功能變數名稱驗證類型，分為DNS驗證和文件驗證，具體驗證方式可查看 阿裡雲幫助手冊。

• 最後到上傳信息這一步，一般選擇系統生成 CSR。

  

• 這裡選擇的是 DNS 驗證方式，點擊進度按鈕，會彈出提示框，按提示框中的操作添加一條DNS記錄。（文件驗證方式會要求將一個html文件放到伺服器指定的目錄下，然後通過url訪問到即可驗證成功）

  

• 直到我的訂單頁面顯示證書狀態為已簽發，即表示證書申請成功。

• 再之後會在我的訂單列表中，操作欄看到下載按鈕，點擊按鈕，跳轉到證書下載頁面，這裡提供了nginx、Apache、Tomcat等證書下載

  

• 這裡選擇 nginx 證書。

第四步 在 nginx 中配置 HTTPS

• 將下載下來的證書解壓，裡面有兩個文件一個是.key，另一個是.pem，把這兩個文件傳到伺服器的一個目錄中。

• 找到 nginx 配置文件，打開編輯，加入如下代碼：

   

  server {
        listen       443 ssl;
        server_name  localhost;
        ssl on;
   
        ssl_certificate      /root/data/cert/test.pem;
        ssl_certificate_key  /root/data/test.key;
   
        ssl_session_timeout  5m;
   
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers  on;
   
        location ^~/test {
             proxy_redirect off;
             proxy_set_header Host $host;
             proxy_set_header X-Real-IP $remote_addr;
             proxy_set_header X-Forwarded-Proto https;
             proxy_pass http://127.0.0.1:8080/test;
        }
   
    }   
  

  　　

• 最後重啟 nginx 即可。