[Nginx] 基于Nginx实现HTTPS网站设置的步骤

https 解决数据传输安全问题的方案：就是使用加密算法，具体来说就是混合加密算法，也就是对称加密算法和非对称加密算法的混合使用。

• 对称加密：加密和解密都是使用同一密钥；常见的对称加密算法有 des、3des 和 aes 等。
  
• 非对称加密：加密和解密需要使用两个不同的密钥，公钥和私钥。常用的非对称加密算法是 rsa 算法。
  

• 客户端通过 https 协议访问服务端的 443 端口；
  
• 服务端会向客户端进行回应，并且发送证书，也就是公钥；
  
• 客户端在收到证书后，会向 ca 请求判断证书是否有效，如果无效，客户端就会提示警告信息，提示此证书不安全；
  
• 证书有效的话，客户端就会生成一个随机值；
  
• 客户端会用服务端发送来的证书向随机值进行加密然后发送给服务端；
  
• 服务端收到后，会使用本地的私钥解开，从而获得客户端的随机值。在服务端发送数据时，会使用随机值对发送的数据进行加密也就是再生成一个相当于是公钥，而随机值就是私钥；
  
• 服务端向客户端发送被加密的数据；
  
• 客户端收到数据后会使用随机值进行解密，从而成功传输数据。
  

[root@nginx ~]# yum -y install pcre-devel zlib-devel popt-devel openssl-devel openssl
[root@nginx ~]# wget http://www.nginx.org/download/nginx-1.18.0.tar.gz
[root@nginx ~]# ls
anaconda-ks.cfg  nginx-1.18.0.tar.gz
[root@nginx ~]# tar zxf nginx-1.18.0.tar.gz -c /usr/src/
[root@nginx ~]# cd /usr/src/nginx-1.18.0/
[root@nginx nginx-1.18.0]# useradd -m -s /sbin/nologin nginx
[root@nginx nginx-1.18.0]# ./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-file-aio \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--with-http_flv_module \
--with-http_ssl_module \
--with-pcre && make && make install
[root@nginx nginx-1.18.0]# ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
[root@nginx nginx-1.18.0]# cd
[root@nginx ~]# nginx
[root@nginx ~]# netstat -anpt | grep 80

[root@nginx ~]# openssl genrsa -des3 -out server.key 1024
...
enter pass phrase for server.key:                         # 输入密码
verifying - enter pass phrase for server.key:                   # 确认密码

[root@nginx ~]# openssl req -new -key server.key -out server.csr
enter pass phrase for server.key:                         # 输入前面创建的密码
...
country name (2 letter code) [xx]:cn                      # 国家代号. 中国输入 cn
state or province name (full name) []:beijing                   # 省的全名. 拼音
locality name (eg, city) [default city]:beijing                 # 市的全名. 拼音
organization name (eg, company) [default company ltd]:coco            # 公司英文名
organizational unit name (eg, section) []:                    # 可以不输入
common name (eg, your name or your server's hostname) []:www.coco.com       # 域名
email address []:chenzhuang1217@163.com                     # 电子邮箱. 可随意填
...
a challenge password []:                            # 可以不输入
an optional company name []:                          # 可以不输入

[root@nginx ~]# cp server.key server.key.org

[root@nginx ~]# openssl rsa -in server.key.org -out server.key
enter pass phrase for server.key.org:                       # 输入密码

[root@nginx ~]# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
signature ok
subject=/c=cn/st=beijing/l=beijing/o=coco/cn=www.coco.com/emailaddress=chenzhuang1217@163.com
getting private key

[root@nginx ~]# mkdir -p /usr/local/nginx/conf/ssl
[root@nginx ~]# cp server.crt server.key /usr/local/nginx/conf/ssl/
[root@nginx ~]# vim /usr/local/nginx/conf/nginx.conf
server {
  listen 443;                             # 监听端口
  ssl on;                               # 开启 ssl
  ssl_certificate ssl/server.crt;                   # ps：我这里是相对路径. 你们可以使用绝对路径
  ssl_certificate_key ssl/server.key;                 # 系统会在 /usr/local/nginx/conf/ 目录中寻找
  server_name  www.coco.com;                      # 证书对应的域名
  ...
}
[root@nginx ~]# nginx -s reload                     # 重启 nginx 服务

这里说一下为什么要往配置文件里面再添加一个server，因为 http 协议使用的是 80 端口，而 https 协议使用的则是 443 端口

那么如果想要实现 http 跳转到 https，则需要配置两个虚拟主机（基于不同端口），然后使用 rewrite 来进行跳转。

server {
  listen 80;
  listen 443;
  server_name www.coco.com;
  root html;
  index index.html index.htm;
  rewrite ^(.*)$ https://$host$1 permanent;
}

将 80 端口和 443 端口区分开，简单来说就是配置基于不同端口的虚拟主机。

这样即可实现访问 80 端口进行跳转，而访问 443 端口，则直接进行访问。

[root@nginx ~]# vim /usr/local/nginx/conf/nginx.conf
server {
  listen 80;
  server_name  www.coco.com;
  rewrite ^(.*)$ https://$host$1 permanent;
  ...
}
server {
  listen 443;
  ssl on;
  ssl_certificate ssl/server.crt;
  ssl_certificate_key ssl/server.key;
  server_name  www.coco.com;
  ...
}
[root@localhost ~]# nginx -s reload