你好呀，我是赵兴晨，文科程序员。

今天，我将与大家分享一些关于Nginx的实用知识。这次的主题是：如何为Nginx配置HTTPS。我将从HTTP与HTTPS的区别讲起，然后逐步介绍Nginx的安装与HTTPS配置的详细步骤。

HTTP与HTTPS的区别：

HTTP：

是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。

HTTPS

是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

主要区别：

1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。

2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

安装Nginx

1、安装依赖库：

• 安装 GCC（命令：yum install gcc）
• 安装 PCRE（命令：yum install pcre-devel）
• 安装 ZLib（命令：yum install zlib zlib-devel）
• 安装 OpenSSL（命令：yum install openssl openssl-devel）
综合命令：

yum -y install gcc pcre-devel zlib zlib-devel openssl openssl-devel

2、下载安装包并解压nginx-1.12.2.tar.gz：

# 下载nginx-1.12.2.tar.gz
wget http://nginx.org/download/nginx-1.12.1.tar.gz

# 解压nginx-1.12.2.tar.gz
tar -zxvf nginx-1.12.2.tar.gz

3、安装Nginx：

• 先进入到解压后的nginx-1.12.2 目录

cd nginx-1.12.2

使用以下命令安装 Nginx：（./configure 默认安装位置为 /usr/local/nginx，可以使用参数 --prefix=/usr/nginx 进行修改）

# 配置SSL模块
./configure --with-http_ssl_module

# 使用 make 命令编译
make

#使用make install 会安装 Nginx 默认安装位置为/usr/local/nginx
make install

安装完成之后查看安装的模块：

/usr/local/nginx/sbin/nginx -V

# 出现 --with-http_ssl_module 说明ssl模块已安装
configure arguments: --prefix=/usr/local/nginx --with-http_ssl_module

4、测试配置文件：

测试配置文件是否正确，我们先进入到 /usr/local/nginx/sbin 目录，执行以下命令：

cd /usr/local/nginx/sbin

./nginx -t

5、启动Nginx：./nginx

使用curl 测试Nginx是否启动成功：curl localhost

6、添加到守护进程

1）在系统服务目录里创建nginx.service文件

vim /etc/systemd/system/nginx.service

备注：如果系统没有安装vim 可以使用 yum install -y vim 进行安装或者 使用vi 代替 vim:

vi /etc/systemd/system/nginx.service

内容如下：

[Unit]
Description=nginx
After=network.target
  
[Service]
Type=forking
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s quit
PrivateTmp=true
  
[Install]
WantedBy=multi-user.target

部分参数说明：

[Unit]:服务的说明
Description:描述服务
After:描述服务类别
[Service]服务运行参数的设置
Type=forking是后台运行的形式
ExecStart为服务的具体运行命令
ExecReload为重启命令
ExecStop为停止命令
PrivateTmp=True表示给服务分配独立的临时空间

注意：[Service]的启动、重启、停止命令全部要求使用绝对路径
[Install]运行级别下服务安装的相关设置，可设置为多用户，即系统运行级别为3

2）设置开机自启动：

systemctl enable nginx.service

停止开机自启动：

systemctl disable nginx.service

查看服务当前状态：

systemctl status nginx.service

重新启动服务：

systemctl restart nginx.service

查看所有已启动的服务：

systemctl list-units --type=service

开始配置ssl正书

1、申请免费的SSL正书(当然也可以自行购买)：

FreeSSL - 一个申请免费HTTPS正书的网站https://freessl.org

申请免费证书 会有DNS验证 按照网站提示一步一步操作即可(网页右上角可以调中文 适合英文不好的小盆友奥)

这里补充一下：不建议使用OpenSSL生成的证书:

• openssl生成的baiSSL证书也叫自签名SSL证书，签发很随意，任何人都可以签发，易被黑客仿冒利用。
• 不是由正规的CA机构颁发的，所以不受浏览器的信任。
• 而付费的SSL证书，是由受信任的CA机构颁发的，申请时会对域名所有权和企业相关信息进行验证，安全级别是比较高的，而且备受各大浏览器的信任。

2、部署证书：

• 下载申请好的 ssl 证书文件压缩包到本地并解压（这里是用的 pem 与 key 文件，文件名可以更改）
• 在 nginx 目录新建 cert 文件夹存放证书文件

# 进入到Nginx目录
cd /usr/local/nginx

# 创建cert文件夹
mkdir cert

• 将pem 与 key这两个文件上传至服务器的/usr/local/nginx/cert目录里

3、配置nginx.conf

vim /usr/local/nginx/conf/nginx.conf

具体配置如下： nginx 1.15 以上版本 需要将配置中的 ssl on 删掉 否则不好用

server {    
    listen 443;#监听443端口（https默认端口）
    server_name chensir.ink; #填写绑定证书的域名
    # nginx 1.15 以上版本 需要将配置中的 ssl on 删掉 否则不好用
    ssl on;
    ssl_certificate ***.crt;#填写你的证书所在的位置
    ssl_certificate_key ***.key;#填写你的key所在的位置
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
    ssl_prefer_server_ciphers on;
    location / {
     root   网站目录;
     index  index.html index.htm;
  }
}

进行http80端口的重定向配置

 server {

    listen       80;

    server_name  www.xxx.com;#填写绑定证书的域名

    rewrite ^ https://$http_host$request_uri? permanent;    # 将http转到https

 }

4、启动Nginx服务：

# 语法检测：查看配置文件是否有语法错误
/usr/local/nginx/sbin/nginx -t

# 启动 Nginx
service nginx start

# 停用 Nginx
service stop nginx

备注：如果之前部署了Nginx只是在其基础上安装SSL模块那么一定要重启Nginx服务，不然https是不会生效的（不要问我为什么写备注，都是眼泪😅）

以上就是我个人的一些分享，如果有不正确的地方，欢迎大家在文章底部留言指正。

如果你对我的分享感兴趣，可以扫描文章底部👇二维码。