这几天 快被https 搞死了
下面我总结几点比较重要的
为了方便快速 请使用 控制面板 ,快速推荐宝塔
从一些域名处申请域名证书,
域名认证+服务器备案 +ssl授权
安装环境 分好几种情况,有的是利用 lnmp 轻便捷,
lamp稳定 windows server
window就非常的简单, 从获取的直接安装就好
同时要检查服务器端的防火墙是否开放443端口,这里为了测试方便,直接清空了iptables规则表 iptables -F
LNMP环境配置SSL
第一步:在nginx的conf目录下新建一个cert文件夹 将域名证书的两个文件上传到该文件夹下
第二步:修改nginx的虚拟主机配置如下
server { listen 80; server_name www.domain.com; rewrite ^(.*) https://$server_name$1 permanent; # 监听80端口 如果发现访问的是80端口 则进行url重写强制跳转到443端口 } server { listen 443; server_name www.domain.com; ssl on; ssl_certificate cert/1_www.domain.com_bundle.crt; ssl_certificate_key cert/2_www.domain.com.key; # SSL证书私钥 ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; index index.php index.html index.htm; # 优先解析php文件 # 匹配后缀为php的文件 location ~ .php?.*$ { root /usr/local/nginx/html; # 设置网站根目录 fastcgi_pass 127.0.0.1:9000; # 此处是配置过程中最大的坑 稍后说明 fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name; include fastcgi_params; } }
先说说nginx解析php的原理:
nginx接收到客户端的请求后,会按配置文件中的规则进行匹配,发现后缀是.php文件,自己无法处理,就由fastcgi_pass 127.0.0.1:9000;这项配置交给fastcgi。要想让php处理这个文件,前提是php-fpm监听9000端口,才能接受nginx转发过来的请求并对其进行处理。fastcgi是一种进程管理器,管理cgi进程。市面上有多种实现了fastcgi功能的进程管理器,php-fpm就是其中的一种。再提一点,php-fpm作为一种fast-cgi进程管理服务,会监听端口,一般默认监听9000端口,并且是监听本机,也就是只接收来自本机的端口请求,所以我们通常输入命令 netstat -nlpt | grep php-fpm 会得到:
tcp 0 0 127.0.0.1:9000 0.0.0.0:* LISTEN 1057/php-fpm
也已通过这个命令查看9000端口是否被监听:lsof -i:9000
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
php-fpm 5807 root 8u IPv4 34723 0t0 TCP localhost:cslistener (LISTEN)
php-fpm 5808 www 0u IPv4 34723 0t0 TCP localhost:cslistener (LISTEN)
php-fpm 5809 www 0u IPv4 34723 0t0 TCP localhost:cslistener (LISTEN)
---------------------
注意:
1. 要在防火墙中打开443端口
2. fastcgi_pass为配置nginx与php-fpm的交互路径,一般有两种方式
sock方式:fastcgi_pass unix:/tmp/php-cgi.sock;
http方式:fastcgi_pass 127.0.0.1:9000;
任选其中一种即可,但必须和php-fpm的配置一致。
我安装的是LNMP一键安装包,默认nginx是http方式 而php-fpm是sock方式
因此可以修改php-fpm的配置文件如下
3. 如果没有正确配置,访问php文件会出现502 bad gateway的错误
第三步:重启nginx和php-fpm,再访问网站一切正常
service nginx restart
service php-fpm restartLAMP环境配置SSL
ubuntu下apache配置https的具体步骤
这个比较麻烦:一下原因
安装Apache
install apache2
APACHE,配置比较分散
- 默认站点在 /var/www/
- 配置文件在 /etc/apache2/
- 日志在 /var/log/apache/
- 启动脚本是 /usr/bin/apache2ctl 或者 /etc/init.d/apache2
安装openssl
Ubuntu默认已经安装了OPENSSL,如果没安装,
$sudo apt-get install openssl
HTTPS原理
1, 客户端向服务器发送https请求;
2, 服务器上存储了一套数字证书,其实质为一对公私钥。数字证书可以自己制作,也可以向组织申请。前者在客户端访问时需要验证才能继续访问;后者不会弹出验证提示;
3, 服务器将公钥传输给客户端;
4,客户端验证公钥是否合法:无效(自己制作的)会弹出警告,有效的则生成一串随机数,用此随机数加密公钥;
5, 客户端将加密后的字符串传输给服务器 服务器收到字符串后,先使用私钥进行解密,获取加密使用的随机数,并以此随机数加密传输的数据(对称机密);
6, 服务器将加密后的数据传输给客户端; 客户端收到数据后,使用自己的私钥(即随机字符串)进行解密。
7,服务器将加密后的数据传输给客户端;
8,客户端收到数据后,使用自己的私钥(即随机字符串)进行解密。
说明:对称加密:将数据和私钥(随机字符串)通过某种算法混合在一起,除非知道私钥,否则无法解密。
生成SSL密钥对
创建私钥Key
[root@dl-001 ~]# cd /usr/local/nginx/conf // 创建私钥key文件,必须输入密码,否则无法生成key文件 [root@localhost conf]# openssl genrsa -des3 -out tmp.key 2048 Generating RSA private key, 2048 bit long modulus ..............................+++ ...............................................................+++ e is 65537 (0x10001) Enter pass phrase for tmp.key: Verifying - Enter pass phrase for tmp.key:
转换key,取消密码
[root@dl-001 conf]# openssl rsa -in tmp.key -out test.key Enter pass phrase for tmp.key: writing RSA key [root@dl-001 conf]# rm -f tmp.key