在Linux配置NGINX的证书

1、检查 Nginx 是否支持 SSL 模块

首先，检查当前安装的 Nginx 是否支持 SSL 模块。运行以下命令：
nginx -V 2>&1 | grep -o with-http_ssl_module

如果输出为空，说明 Nginx 没有编译 SSL 模块。

2. 重新编译 Nginx 以启用 SSL 模块

如果你没有安装源代码，可以从 Nginx 官方网站下载源代码包并重新编译。
下载 Nginx 源代码
cd /usr/local/src
wget http://nginx.org/download/nginx-1.21.3.tar.gz
tar -zxvf nginx-1.21.3.tar.gz
cd nginx-1.21.3
安装依赖
确保安装了必要的依赖项，包括 OpenSSL 和开发工具：
sudo yum install -y pcre pcre-devel zlib zlib-devel openssl openssl-devel
配置并编译 Nginx
./configure --with-http_ssl_module --prefix=/usr/local/nginx
make
sudo make install

3、秘钥证书文件放置路径：

sudo mkdir -p /etc/nginx/ssl
sudo cp star_baidu_com.crt /etc/nginx/ssl/
sudo cp star_baidu_com.key /etc/nginx/ssl/

4、修改 /usr/local/nginx/conf/nginx.conf

在 http 块中添加或修改以下内容：
http {
# 其他配置...

#保留请求头里的字段下划线因Nginx存在过滤下划线的问题

underscores in headers on;

server {
listen 80;
server_name www.baidu.com;

# 重定向 HTTP 请求到 HTTPS
return 301 https://$host$request_uri;
}

server {
listen 443 ssl;
server_name www.baidu.com;

ssl_certificate /etc/nginx/ssl/star_baidu_com.crt;
ssl_certificate_key /etc/nginx/ssl/star_baidu_com.key;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;

location / {

# 需要修改IP地址
proxy_pass http://172.16.222.1222:8089;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
}

5、测试 Nginx 配置

在重新启动 Nginx 之前，先测试配置文件是否正确：
sudo /usr/local/nginx/sbin/nginx -t

6、重启 Nginx

如果配置文件没有问题，重启 Nginx 以应用更改：
sudo /usr/local/nginx/sbin/nginx -s reload

7、验证 SSL 配置

打开浏览器，访问 https://www.baidu.com，确保连接是安全的，并且没有 SSL 警告。

8、注意事项

   确保防火墙允许 443 端口的流量。
   使用 iptables
   查看现有规则（可选）
   sudo iptables -L -n -v
   添加规则以允许443端口的流量：
   允许入站TCP流量（假设你使用的是IPv4）：
   sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
   如果你还希望允许IPv6流量：
   sudo ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT
   保存规则：
   对于基于Debian的系统（如Ubuntu），你可以使用iptables-save和iptables-restore：

   sudo sh -c "iptables-save > /etc/iptables/rules.v4"
   sudo sh -c "ip6tables-save > /etc/iptables/rules.v6"
   对于基于Red Hat的系统（如CentOS、Fedora），你可以使用service iptables save（这取决于你的系统配置）：
   你需要确保 /etc/iptables/ 目录存在。如果目录不存在，你可以创建它：
   sudo mkdir -p /etc/iptables/
一旦目录存在，你就可以再次尝试使用 iptables-save 命令来保存规则：
   sudo iptables-save > /etc/iptables/rules.v4
   sudo iptables-save > /etc/iptables/rules.v6

如果使用 Let's Encrypt 证书，建议使用 Certbot 工具自动管理证书的获取和续期。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/diannao/61542.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！