小伙伴们好,欢迎关注,一起学习,无限进步
项目开发完成后,将项目部署到服务器上时,为了保证安全性和加密通信,我们通常会配置 Nginx
作为反向代理服务器,并使用域名证书启用 HTTPS
。下面将为你指导 Nginx
如何配置域名和证书。
文章目录
- 环境准备
- Nginx 部署步骤
- 证书申请
- 上传证书
- 配置 ssl 及证书
- Nginx 完整配置
- Nginx 常用命令
环境准备
域名准备,提前准备好域名或重新申请一个新的域名,域名解析到你部署项目的服务器。下载好 Nginx
对应的证书,这里我用的阿里云,一个域名可以申请 20 个免费的证书(推荐)。
Nginx 部署步骤
可参考这篇文章:nginx 在 Linux 系统下安装部署的两种方式详细说明
前后端项目部署可参考这篇文章:非常详细的前端后端分离项目部署步骤
证书申请
阿里云证书申请:地址
免费证书 -> 创建证书 -> 输入证书需要解析的域名,解析完成,下载对应的项目部署代理对应的 nginx
或 tomcat
证书
上传证书
在安装 Nginx
的目录下创建一个 ssl
的文件夹,证书一开始下载后是一个 zpi
的压缩包,上传解压修改证书配置对应的目录即可。
有些服务器没有 zip
和 unzip
的以来和命令,执行以下一行命令
yum install -y zip unzip
配置 ssl 及证书
ssl 配置说明,修改 linsten
对应的端口和 server_name
对应的域名,修改证书对应的 xxx.pem
和 xxx.key
# 修改监听的端口,注意不要忘了加 ssl
listen 443 default ssl;
# 域名可以有多个,用逗号隔开
server_name xxxxx.com;# 配置域名证书
ssl_certificate /data/nginx/ssl/sjy.pem;
ssl_certificate_key /data/nginx/ssl/sjy.key;
# 用于缓存 SSL 会话参数的共享内存区的大小,使用大小单位(例如 10m 表示 10 兆字节)
ssl_session_cache shared:SSL:1m;# SSL 会话的过期时间 默认5分钟
ssl_session_timeout 5m;
# SSL/TLS 协议版本,可以指定多个,以空格分开
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv2 SSLv3;
# 指定是否优先使用服务器端加密算法顺序。设置为 on,表示使用服务器端优先的加密算法顺序。默认情况下,该选项为 off
ssl_prefer_server_ciphers on;
# 加密算法的优先顺序
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
修改完成,重启 nginx
,然后通过浏览器访问域名:xxxx.com
即可
Nginx 完整配置
可直接使用,修改对应的文件目录即可
user root;
worker_processes auto;events {worker_connections 1024;
}http {include mime.types;default_type application/octet-stream;sendfile on;keepalive_timeout 65;# 开启gzip压缩gzip on;# 不压缩临界值,大于1K的才压缩,一般不用改gzip_min_length 1k;# 压缩缓冲区gzip_buffers 16 64K;# 压缩版本(默认1.1,前端如果是squid2.5请使用1.0)gzip_http_version 1.1;# 压缩级别,1-10,数字越大压缩的越好,时间也越长gzip_comp_level 5;# 进行压缩的文件类型gzip_types text/plain application/x-javascript text/css application/xml application/javascript;# 跟Squid等缓存服务有关,on的话会在Header里增加"Vary: Accept-Encoding"gzip_vary on;# IE6对Gzip不怎么友好,不给它Gzip了gzip_disable "MSIE [1-6]\.";# 配置 80 端口server {listen 80;# 域名可以有多个,用逗号隔开,把 xxxx 替换成对应域名即可,不许加 http wwwserver_name xxxxx.com; # HTTP 自动跳转 HTTPSrewrite ^(.*) https://$server_name$1 permanent;charset utf-8;location / {root /data/pro/front/ruoyi-ui;try_files $uri $uri/ /index.html;index index.html index.htm;}location /prod-api/ {proxy_set_header Host $http_host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header REMOTE-HOST $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://localhost:8080/;}error_page 500 502 503 504 /50x.html;location = /50x.html {root html;}}# 配置 443 端口server {listen 443 default ssl;# 域名可以有多个,用逗号隔开,把 xxxx 替换成对应域名即可,不许加 http wwwserver_name xxxxx.com;charset utf-8;# 配置域名证书ssl_certificate /data/nginx/ssl/sjy.pem; ssl_certificate_key /data/nginx/ssl/sjy.key;# 用于缓存 SSL 会话参数的共享内存区的大小,使用大小单位(例如 10m 表示 10 兆字节)ssl_session_cache shared:SSL:1m;# SSL 会话的过期时间 默认5分钟ssl_session_timeout 5m;# SSL/TLS 协议版本,可以指定多个,以空格分开ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv2 SSLv3;# 指定是否优先使用服务器端加密算法顺序。设置为 on,表示使用服务器端优先的加密算法顺序。默认情况下,该选项为 offssl_prefer_server_ciphers on;# 加密算法的优先顺序ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;location / {root /data/pro/front/ruoyi-ui;try_files $uri $uri/ /index.html;index index.html index.htm;}location /prod-api/ {proxy_set_header Host $http_host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header REMOTE-HOST $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://localhost:8080/;}error_page 500 502 503 504 /50x.html;location = /50x.html {root html;}}
}
替换配置后,重新加载一个 nginx.conf
的配置文件,浏览器能正常访问则说明配置成功
Nginx 常用命令
# 首先进入 nginx 可执行文件目录,我这是是安装到 /data/nginx/sbin 目录下
cd /data/nginx/sbin
./nginx # 启动
./nginx -s stop # 停止(暴力停止服务)
./nginx -s quit # 安全退出(优雅停止服务)
./nginx -s reload # 重新加载配置文件
./nginx -h # 帮助命令
./nginx -t # 检查配置文件
/data/nginx/conf/nginx.conf # nginx配置文件路径
ps aux|grep nginx # 查看nginx进程