前端博主，热衷各种前端向的骚操作，经常想到哪就写到哪，如果有感兴趣的技术和前端效果可以留言～博主看到后会去代替大家踩坑的～
主页: oliver尹的主页
格言: 跌倒了爬起来就好～
来个关注吧，点个赞吧，谢谢

一、前言

今天在为阿里云服务器续期的时候发现原来阿里云上面也可以 申请免费的ssl证书，而博主平时玩耍的域名一直是http的方式访问的，于是，很自然的想搞一个证书，将http改为https；
于是，有了本文这篇踩坑记录，耐心看完，你也许有所收获；
（注意：由于博主的服务器，域名均在阿里云购买，因此整个部署流程均在阿里云完成，其它服务器商不是太清楚，可能只有一定的参考价值~）

二、步骤流程

完成整个流程大致分为这么几步：

1. 在阿里云上申请免费证书，申请成功后会得到一个包含两个文件的压缩包，这个压缩包就是ssl证书本体（注意：证书必须绑定域名，因此想要申请证书的前提是你得有一个域名，并且这个域名是认证备案过的）；
2. 确认阿里云服务器443端口状态，由于https默认的端口是443，因此，在这一步中需要确认阿里云服务器的443端口是否被手动添加，阿里云服务器默认是不会主动开放这些端口的，如果不开放，那自然443端口就会访问不了；
3. nginx配置443端口的参数，这一步的目的配置证书，这个证书就是来自于第一步中申请的，证书一共有两个，1个 .key格式，另外一个 .pem格式；
4. 重写http的访问至https，也就是改写80端口的访问，使得http的格式访问时自动重写地址到https上；

这样，基本就完成https证书的配置，配置完成后，重启nginx，之后可以通过 https://域名 直接访问了，示例图如下：

三、步骤详解

3.1 阿里云上申请SSL证书

这一步的目的，就是为了 获得SSL证书的压缩包，如果已经有了证书，那么这一步可以跳过，这个压缩包包含了两个文件，一个以 .key结尾，另外一个以 .pem 结尾，这两个证书后面都需要配置到Nginx的参数里，下面是具体步骤：

1. 首先登陆阿里云官方网站，地址如下：https://www.aliyun.com/，登录账号，进入控制台界面
   
2. 点击右上角的菜单，选择：安全 -> 云安全 -> SSL证书(应用安全)；或者直接在搜索栏搜索SSL也可；
   
3. 选择：SSL证书 -> 免费证书 -> 立刻购买，在这一步中我们要先购买一个服务，然后在这个服务下创建证书；
   
4. 选择一下购买的选项，具体可以按照自己的需求，或者可以跟随博主一样配置即可，这里面最主要的参数是 购买数量，这个决定了后面你这个服务 一共能创建多少个证书，假如有20个以上的域名是需要配置成https的，那么就不能选20~
   
5. 购买完成后，点击 “创建证书”，点击 “创建证书” 后会在下方列表中生成一个证书，点击右侧操作栏的 “证书申请”
   
6. 据需表单 填写 域名信息，注意的是域名是全信息，比如：www.xxxx.com，不要简写~
   
7. 验证DNS，验证 需要为域名添加一条DNS记录，用来验证是否合法，注意，如果域名是在别的服务商注册的，并不是在阿里云注册的域名，那么需要根据提示操作，DNS记录如下，DNS添加完成后，点击“验证”按钮，可以得到是否通过，通过后，点击“购买”
   
8. 申请很快的，一般10分钟左右即可申请完成，博主申请的时候大概用时7分钟不到，申请完成后，可以在主界面看到记录，之后，点击“下载”，可得到我们需要的 SSL证书压缩包；
   

小结

在这一步中，我们所有的操作均是在网站上完成的，并不涉及到代码，完成后，我们最终得到了一个包含 .key文件 和 .pem文件 的压缩包，这两个文件我们需要最终配置到nginx里，另外这两个文件非常重要，非常重要，非常重要，务必保管好，请勿给别人使用~

3.2 服务器端口状态开启

在这一步中，我们需要 确认服务器的端口状态，如果确认服务器端口443已经开放，那么这一步可以跳过，直接看下一小节~
这里再简单的说一下吧，因为https默认使用的是服务器的443端口，就行http默认去访问了80端口一样，举个例子，当在浏览器中输入:www.xxx.com时，通过域名解析指向了某个服务器地址 xx.xx.xx.xx，当访问到了这个服务器地址后，会自动的去接入到服务器的80端口，因此访问xx.xx.xx.xx等同于访问xx.xx.xx.xx:80，https也同理，使用https自动会去访问xx.xx.xx.xx:443，所以，我们必须得去确认443端口是否开放，因为阿里云服务器这些端口默认都是被拦截掉的~

1. 打开阿里云的官网，点击控制台，选择云服务器ECS，进入云服务的操作界面，点击菜单中的“安全组”选项；
   

2. 点击 服务器列表 中，服务器的“配置规则”按钮，进入配置规则界面；
   

3. 点击“手动添加”，在目的一栏中输入：443/443，点击“保存”;
   

4. 保存成功后，可在列表中查看到该条配置记录；
   

小结

在这一步中，我们的所有操作也还是在阿里云网站上的（因为博主的服务器在阿里云…），我们的目的说到底，就是为了将阿里云默认关掉的443端口给开放出来，不然通过443访问不了我们的服务器~

3.3 配置nginx参数

首先远程连接到服务器，博主使用的是FinalShell，因此以下截图都是以FinalShell截的图，如果不一样或者有问题可以留个言，虽然我也不大会，可以交流交流…（PS：docker我是个半吊子…所以踩了好多坑）

3.3.1 部署过Nginx

找到nginx的配置文件，一般而言，在使用docker部署nginx的时候都会讲nginx的配置文件给映射出来，因此得找到这个配置文件

1. 找到配置文件，由于我这个配置文件是使用的默认名字，因此文件名就叫做：default.conf；
   
2. 使用 vim在线编辑 或者 干脆下载下来后在本地编辑完上传覆盖，编辑的目的是为了将443端口加上

server {
	listen 443;
	server_name 申请证书的域名地址;

	ssl_certificate      /etc/nginx/cert/申请证书的pem文件.pem;  #填写解压的pem文件
	ssl_certificate_key  /etc/nginx/cert/申请证书的key文件.key;  #填写解压的key文件

	ssl on;
	ssl_session_cache    shared:SSL:10m;
	ssl_session_timeout  50m;

	# ssl_ciphers  HIGH:!aNULL:!MD5;
	# ssl_prefer_server_ciphers  on;

	location / {
		root /usr/share/nginx/html;
	}
}

这里有几个参数注意一下：
第一个：server_name：就是证书绑定的域名地址，比如：www.xxxxxx.com

server_name www.xxxxxx.com;

第二个：ssl_certificate 和 ssl_certificate_key，这两个对应的文件是刚刚在第一小节里面申请下载的SSL证书，后面的参数也就是示例里面的 /etc/nginx/cert/ 这个是当初使用docker部署nginx映射出来的路径，如果不记得，或者弄不清楚，那么恭喜，干脆删掉nginx容器重新起一个吧…博主在这里纠结了好久，总是路径不对，nginx起不起来报错，找不到对应的 pem文件 和 key文件
配置完成后，将 default.conf 文件上传，覆盖原来的文件，使用docker重新启动nginx

docker restart 容器id

重启过后，查看一下是nginx否启动成功，如果启动成功，那么说明已经识别到了SSL证书，那此时https已经配置完成了，访问：https://www.xxxxxx.com，应该也是可以访问成功的；
如果重启失败，查看以下nginx的错误日志，如果是类似于：

2022/12/06 05:14:50 [emerg] 1#1: cannot load certificate “/etc/nginx/cert/8944652_www.xxxxxx.com.pem”: BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/etc/nginx/cert/xxxxx_www.xxxxxx.com.pem’,‘r’) error:2006D080:BIO routines:BIO_new_file:no such file)

这种错误，那么就是路径配置异常，就是存放证书的地址配置错误，nginx启动的时候在这个路径下没有找到 .pem文件 和 .key文件，因此就报错，启动不起来了~如果是在不知道怎么设置路径，或者已经忘记当初映射是怎么弄的了，那可能就要重新起一个nginx了…

3.3.2 没有部署过Nginx

由于没有部署过nginx，因此首先，先查看docker容器中是否已下载nginx的镜像，

docker images

如果没有镜像，那么通过docker命令docker pull nginx先下载下来；
接着，通过run命令，启动一个nginx的容器，具体命令有点长，如下：

docker run --name mynginx -d -p 80:80 -p 443:443 --privileged=true -v /usr/docker/mynginx/html:/usr/share/nginx/html -v /usr/docker/mynginx/conf.d:/etc/nginx/conf.d -v /usr/docker/mynginx/logs:/var/log/nginx -v /usr/docker/mynginx/conf.d/cert:/etc/nginx/cert nginx 

分段备注一下：
–name mynginx：将nginx启动后的容器名字设置成mynginx；
-d: nginx启动后保持长时间启动；
-p 80:80：映射docker的端口，将80端口与服务器的80端口绑定；
-p 443:443：映射docker的端口，将443端口与服务器的443端口绑定；
–privileged=true：开启特权模式，这个可以去掉，以防万一用的；
-v /usr/docker/mynginx/html:/usr/share/nginx/html ：映射路径存储html文件夹的路径；
-v /usr/docker/mynginx/conf.d:/etc/nginx/conf.d：映射nginx配置文件的路径；
-v /usr/docker/mynginx/logs:/var/log/nginx：映射日志文件的路径；
-v /usr/docker/mynginx/conf.d/cert:/etc/nginx/cert：映射存放SSL证书的文件路径；
之后，我们可以到usr/docker下新建mynginx文件夹，按名字分别新建：html，conf.d，logs三个文件夹，再在conf.d下新建cert文件夹；

之后，将申请到的证书文件，也就是 .key文件 和 .pem文件 放到cert文件夹中

接着，将nginx的配置文件上传到 /usr/docker/mynginx/conf.d这个文件夹下，配置文件如下：

	server{
  	# 80 http端口号 443 https端口号
    listen 80;
    server_name 服务器地址;
    rewrite ^(.*)$ https://$host$1;
  }
  server {
	listen 443;
	server_name www.xxxxxx.com;

	ssl_certificate      /etc/nginx/cert/6941234_www.xxxxxx.com.pem;  #填写解压的pem文件
	ssl_certificate_key  /etc/nginx/cert/6941234_www.xxxxxx.com.key;  #填写解压的key文件

	ssl on;
	ssl_session_cache    shared:SSL:10m;
	ssl_session_timeout  50m;

	location / {
		root /usr/share/nginx/html;
	}

重新启动nginx

docker restart 容器id

重启过后，查看一下是nginx否启动成功，如果启动成功，那么说明已经识别到了SSL证书，那此时https已经配置完成了，访问：https://www.xxxxxx.com，应该也是可以访问成功的；
如果错误，还是排查错误日志，正常情况下，不会出现证书的路径问题了；

3.4 重写http的访问至https

在上一小结其实已经写了，就是将nginx配置文件中监听80端口的语句进行改写，改写的内容如下：

rewrite ^(.*)$ https://$host$1;

完整的配置内容

	server{
  	# 80 http端口号
    listen 80;
    server_name 服务器地址;
    rewrite ^(.*)$ https://$host$1;
  }

当用http协议访问80端口时，重写访问地址至https上，这样就可以杜绝使用http访问站点了~

四、小结

总的来说过程并不复杂，我卡主的点基本都在与路径的配置上，由于之前已经部署过nginx，且忘记了docker中路径的映射，导致我怎么上传文件怎么报错，完全没办法启动nginx…后来实在没有办法，将nginx容器删掉，重新部署了一遍，这一次加上了存储证书路径的地址，才成功将https部署上；
故此，记录一下，以便后期需要的时候进行回顾~如果对你有帮助，点个赞吧～谢谢