Nginx实现ssl一级、二级域名证书部署并用https访问代理转发服务器

1.  规划

域名	解析IP	Nginx代理
htpps://www.devcult.com	47.88.10.155
htpps://auto.devcult.com	47.88.10.155	https://www.automa.com
htpps://www.automa.com	103.200.200.203

本次实验用了2个一级域名，1个二级域名，2个ip地址；实现功能如上图所示，要求全部使用https，并且一级域名实现自动补全www。

2. 前提准备

47.88.10.155、103.200.200.203分别部署nginx
解析ip分别在域名购买商解析
ssl证书需要申请个，分别对应两个一级域名和一个二级域名

3. Nginx 证书部署

两台主机47.88.10.155、103.200.200.203的nginx配置如下：

nginx启动路径：/usr/local/nginx/sbin/nginx

nginx配置文件路径：/usr/local/nginx/conf/nginx.conf

以47.88.10.155为例说明配置ssl证书：

3.1 进入配置文件编辑：

vim /usr/local/nginx/conf/nginx.conf

3.2 .在http节点下下新增或修改：

http {

　　include mime.types;

　　default_type application/octet-stream;

　　#配置https网站配置文件夹

　　include /usr/local/nginx/conf/sites-enabled/*.conf;

　　...

　　server  {

　　　　listen 80;

　　　　#http 带www和不带www的入口

　　　　server_name devcult.com www.devcult.com;

　　　　#可选，这里是把所有http请求全部重定向到https

　　　　return 301 https://www.devcult.com$request_uri;

　　　　location / {

　　　　　　root html;

　　　　　　index index.html index.htm;

　　　　}

　　　　...

　　}

}

　　

3.3 .新增网站ssl配置文件夹和配置文件

mkdir /usr/local/nginx/conf/sites-enabled

3.4 证书安装

3.4.1 devcult.com域名配置ssl

把申请的证书下载到服务器上（此处以腾讯云秘钥格式为例，使用亚洲诚信（TrustAsia）证书，其他类似），里面包含：

证书文件1_devcult.com_bundle.crt 、私钥文件2_devcult.com.key

将域名 www.devcult.com 的证书文件1_devcult.com_bundle.crt 、私钥文件2_devcult.com.key保存到同一个目录，本示例在/usr/local/nginx/conf目录下。
新建Nginx根目录下 conf/sites-enabled/www.devcult.com.conf 文件如下：

[root@aliyun ~]# cat /usr/local/nginx/conf/sites-enabled/www.devcult.com.conf

server {

        listen       443 ssl;

　　　　 #填写绑定证书的域名

        server_name  devcult.com;

　　　　　#跳转www：把https://devcult.con 重定向到 http://www.devcult.com

        return 301 http://www.devcult.com$request_uri;

　　　　　#证书名称，需要跟证书文件名一致

        ssl_certificate      1_devcult.com_bundle.crt;

        ssl_certificate_key  2_devcult.com.key;

        ssl_session_cache    shared:SSL:1m;

        ssl_session_timeout  5m;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

        ssl_prefer_server_ciphers  on;

        location / {

            root   html;

            index  index.html index.htm;

        }

    }

server {

        listen       443 ssl;

　　　　　#填写绑定证书的域名

        server_name  www.devcult.com;

　　　　　#证书名称，需要跟证书文件名一致

        ssl_certificate      1_devcult.com_bundle.crt;

        ssl_certificate_key  2_devcult.com.key;

        ssl_session_cache    shared:SSL:1m;

        ssl_session_timeout  5m;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

        ssl_prefer_server_ciphers  on;

        location / {

            root   html;

            index  index.html index.htm;

        }

    }

注：这里设置两个server的作用是为了让https://devcult.com 跳转至https://www.devcult.com

配置完成后，先用 sbin/nginx -t 来测试下配置是否有误，正确无误的话，重启nginx。就可以使 https://www.devcult.com 来访问了。

注：

配置文件参数	说明
listen 443	SSL访问端口号为443
ssl on	启用SSL功能
ssl_certificate	证书文件
ssl_certificate_key	私钥文件
ssl_protocols	使用的协议
ssl_ciphers	配置加密套件，写法遵循openssl标准

3.4.2 automa.com域名配置ssl

参考3.4.1

3.4.3 automa.devcult.com域名配置ssl

二级域名 automa.devcult.com 代理跳转 automa.com（或任意IP）配置：

把申请的二级域名证书下载到服务器上（此处以腾讯云秘钥格式为例，使用亚洲诚信（TrustAsia）证书，其他类似），里面包含：

证书文件1_automa.devcult.com_bundle.crt 、私钥文件2_automa.devcult.com.key

将二级域名 automa.devcult.com 的证书文件1_automa.devcult.com_bundle.crt 、私钥文件2_automa.devcult.com.key保存到同一个目录，本示例在/usr/local/nginx/conf目录下。
新建Nginx根目录下 conf/sites-enabled/automa.devcult.com.conf 文件如下：

cat /usr/local/nginx/conf/sites-enabled/automa.devops-cultural.club.conf

server {

        listen       443 ssl;

        server_name  automa.devcult.com;

        server_name_in_redirect off;

        ssl_certificate      1_automa.devcult.com_bundle.crt;

        ssl_certificate_key  2_automa.devcult.com.key;

        ssl_session_cache    shared:SSL:1m;

        ssl_session_timeout  5m;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

        ssl_prefer_server_ciphers  on;

        location / {

          tcp_nodelay     on;

          proxy_set_header Host            $host;

          proxy_set_header X-Real-IP       $remote_addr;

          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

          proxy_pass https://www.automa.com;

        }

    }

3.5 使用全站加密，http自动跳转https（可选）

对于用户不知道网站可以进行https访问的情况下，让服务器自动把http的请求重定向到https。
在服务器这边的话配置的话，可以在页面里加js脚本，也可以在后端程序里写重定向，当然也可以在web服务器来实现跳转。Nginx是支持rewrite的（只要在编译的时候没有去掉pcre）
在http的server里增加

rewrite ^(.*) https://$host$1 permanent;

或者

return 301 https://www.devcult.com$request_uri;

这样就可以实现80进来的请求，重定向为https了。详情参考3.2

4.测试

输入地址	跳转地址	证书合法
devcult.com	https://www.devcult.com	合法
www.devcult.com		合法
https://devcult.com		合法
https://www.devcult.com		合法
automa.devcult.com	https://automa.devcult.com 实际访问内容为https://www.automa.com	合法
automa.com	https://www.automa.com	合法
www.automa.com		合法
https://automa.com		合法
https://www.automa.com		合法

Nginx实现ssl一级、二级域名证书部署并用https访问代理转发服务器的相关教程结束。