1. 安装nginx

参考博文：centos7中nginx安装
需要安装 openssl 和 openssl-dev，nginx编译时需要带上 with-http_ssl_module 模块

2. 生成证书

在 nginx安装目录下（如：/usr/local/nginx）创建一个ssl目录，用来存放证书文件，然后进入ssl目录，执行后面证书生成相关指令。

证书相关密码设置： SSLPWD=“123456”

2.1 创建私钥

执行命令：

openssl genrsa -des3 -passout pass:$SSLPWD -out demo.key 1024

• -des3：使用des3 cbc模式对私钥文件进行加密
• demo.key 是私钥文件名，可以自定义
• $SSLPWD 为设置的私钥密码，这里指123456
• -passout 通过该参数代替shell 进行密码输入，否则会提示输入密码

2.2 创建crs证书

执行命令：

openssl req -new -key demo.key -passin pass:$SSLPWD -subj "/C=CN/ST=Beijing/O=RS/OU=RS/CN=RDI-SERVER/emailAddress=Rs@163.com" -out demo.csr

• 其中key文件就是第一步生成的私钥，demo为自定义的文件名
• passin 参数代替shell自动输入密码，否则会提示输入密码
• -subj 参数，设置其他相关信息

完成以上两步后，ssl中会生成demo.csr和demo.key两个文件：如下图

2.3 去除密码

在加载SSL支持的Nginx并使用上述私钥时除去必须的口令，否则会在启动nginx的时候需要输入密码，执行以下命令：

openssl rsa -in demo.key -passin pass:$SSLPWD -out demo.key

2.4 生成crt证书

执行命令：

openssl x509 -req -days 3650 -in demo.csr -signkey demo.key -out demo.crt

• x509 命令主要用于创建、修改x509证书
• days 设置证书有效时间（天数）

证书生成完毕，我们在ssl文件夹中可以看到生辰的证书文件，我们要用到的就是demo.crt和demo.key

3. 修改nginx配置

在nginx.conf配置文件中添加一个如下server：

server {
        listen  443 ssl;
        server_name  localhost;
        ssl_certificate      /usr/local/nginx/ssl/demo.crt;
        ssl_certificate_key  /usr/local/nginx/ssl/demo.key;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

启动nginx后，访问正常启动nginx后，使用 https://127.0.0.1:443 访问，可以正常跳转

                     nginx实现https访问

背景：

项目背景是在开发APP发布平台，ios的安装包的下载和自动更新等操作需要https获取plist文件，所以需要通过配置nginx的SSL模块来支持HTTPS访问，也就是说，要做一个网站域名为 域名.com 要求通过HTTPS://域名.com进行访问.

SSL英文名为Secure Socket Layer，安全套接字层。SSL是一种数字证书，它使用ssl协议在浏览器和web server之间建立一条安全通道，数据信息在client与server之间的安全传输.

 

一，环境准备

1.安装nginx，2.获取安全证书

 1.安装nginx（已安装可以跳过）

第一步：下载nginx压缩包

nginx官方下载地址：http://nginx.org/en/download.html

wget命令下载：

wget -c https://nginx.org/download/nginx-1.16.1.tar.gz

注意：这一步最好在自己的目标目录进行操作，我一般是把压缩包下载到/usr/local目录下。

第二步：配置nginx安装所需的环境

1. 安装gcc

安装 nginx 需要先将官网下载的源码进行编译，编译依赖 gcc 环境。安装指令如下：

yum install gcc-c++

2. 安装PCRE pcre-devel

Nginx的Rewrite模块和HTTP核心模块会使用到PCRE正则表达式语法。这里需要安装两个安装包pcre和pcre-devel。第一个安装包提供编译版本的库，而第二个提供开发阶段的头文件和编译项目的源代码。安装指令如下：

yum install -y pcre pcre-devel

3.安装zlib

zlib库提供了开发人员的压缩算法，在Nginx的各种模块中需要使用gzip压缩。安装指令如下:

yum install -y zlib zlib-devel

4.安装Open SSL

nginx不仅支持 http协议，还支持 https（即在 ssl 协议上传输 http），如果使用了 https，需要安装 OpenSSL 库。安装指令如下：

yum install -y openssl openssl-devel

第三步：解压nginx压缩包并安装

将压缩包进行解压

tar -zxvf nginx-1.16.1.tar.gz

解压之后，进入加压文件，即cd nginx-1.16.1。
然后进行配置，推荐使用默认配置，直接./configure就好了，如下图所示：

第四步：编译安装nginx
这里和redis的编译安装比较类似，首先在当前目录（/usr/local/nginx-1.16.1）进行编译。输入make即可

make

然后回车，如果编译出错，请检查是否前面的4个安装都没有问题。
编译成功之后，就可以安装了，输入以下指令：

make install

ok，安装成功。
这时候返回上一级目录，就会发现多了nginx目录，接下来，启动nginx。

第五步：启动nginx

进入/usr/local/nginx/sbin目录，输入./nginx即可启动nginx

./nginx

关闭nginx

./nginx -s quit  或者 ./nginx -s stop

重启nginx

./nginx -s reload

查看nginx进程

ps aux|grep nginx

设置nginx开机启动，只需在rc.local增加启动代码即可。

vim /etc/rc.local

然后在底部增加/usr/local/nginx/sbin/nginx

nginx配置文件

/usr/local/nginx/conf目录可修改nginx的配置文件 -> vim nginx.conf

修改域名以及端口等

 2.ssl证书：

 1. 配置SSL模块首先需要CA证书，CA证书可以自己手动颁发也可以在阿里云申请，本人在腾讯云上申请的证书。

 2. 默认情况下ssl模块并未被安装，如果要使用该模块则需要在编译nginx时指定–with-http_ssl_module参数.

获取证书：

在成功购买域名并通过备案后

1.进入控制台

2.下载证书

下载下来的文件：

nginx文件下：

二、实现nginx+https

1.安装ssl模块

正常安装nginx一般ssl模块并未被安装

默认情况下ssl模块并未被安装，如果要使用该模块则需要在编译nginx时指定–with-http_ssl_module参数

解决方案：

nginx缺少http_ssl_module模块，编译安装的时候带上--with-http_ssl_module配置就行了，但是现在的情况是我的nginx已经安装过了，怎么添加模块，其实也很简单，往下看： 做个说明：我的nginx的安装目录是/usr/local/nginx这个目录，我的源码包在/usr/local/nginx-1.16.1目录

(1)切换到源码包：

cd /usr/local/nginx-1.16.1

(2)配置信息：

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

(3)配置完成后，运行make进行编译，千万不要进行make install，否则就是覆盖安装。

make

(4)然后备份原有已经安装好的nginx

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak

(5)停止Nginx，正常命令直接 nginx -s stop就可以

nginx -s stop

如果关不掉，就直接Kill掉进程。ps aux | grep 进程名 查看进程占用的PID号。

(6)将刚刚编译好的nginx覆盖掉原有的nginx

cp /usr/local/nginx-1.16.1/objs/nginx  /usr/local/nginx/sbin

(7)启动nginx

在路径：/usr/local/nginx/sbin下

./nginx

(8)通过下面的命令查看是否已经加入成功。

nginx -V

2.在Nginx配置文件中安装证书

文件说明：

1. 证书文件“证书名称.crt‘’，包含两段内容，请不要删除任何一段内容。

2. 如果是证书系统创建的CSR，还包含：证书私钥文件“证书名称.key”。

( 1 ) 在Nginx的配置文件所在的目录下创建cert文件夹，并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件，请将对应的私钥文件放到cert目录下并且命名为“证书名称.key”；

( 2 ) 打开 Nginx 安装目录下 conf 目录中的 nginx.conf 文件，找到：

   # HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}

( 3 ) 将其修改为 (以下属性中ssl开头的属性与证书配置有直接关系，其它属性请结合自己的实际情况复制或调整) :

server {

        listen  8095     ssl;
        server_name  localhost;
        ssl_certificate      cert/1_luckilye.cn_bundle.crt;
        ssl_certificate_key  cert/2_luckilye.cn.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
		location /file/ipaPlist/{
		    proxy_redirect off;
            proxy_set_header        Host $host;
            proxy_set_header        X-Real-IP $remote_addr;
            proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
	        proxy_pass  http://47.92.27.**:8086/file/ipaPlist/;
	    }
		
    }
	

( 4 )重启 Nginx。

nginx -s reload 

( 5 ) 通过 https 方式访问您的站点，测试站点证书的安装配置。 在浏览器中输入https://域名，如下图所示，则说明配置成功。

在配置时有可能碰到的错误：

nginx 报错 : [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead

解决：

1. 如果配置了SSL ON请删掉

2.

listen 443;

修改为

listen 443 ssl;

前提已经正确安装了minio能正确访问

官网上有介绍如何配置：

MinIO | Learn how to secure access to MinIO server with TLS

可以直接看教程。下面是划重点：

我们选择第一种：在 MinIO 中使用现有的密钥和证书

将现有的私钥和公共证书复制到certs目录中。默认的 certs 目录是：

Linux： ${HOME}/.minio/certs

如果以root登录，就是如下

在certs目录中，私钥必须命名private.key，公钥必须命名public.crt。 

可以使用--certs-dir命令行选项指定自定义证书目录的位置。
由 CA 签署的证书包含有关颁发的身份（例如名称、到期时间、公钥）和任何中间证书的信息。不包括根 CA。

如何自签名证书：可以找一个在线的，输入一些信息后就能生成一个：在线生成https证书、自签名https证书在线生成、生成自签名https证书--查错网

也可以用openssl等制作

拷贝过去以后，重启minio。

如果提示：

RROR Unable to load the TLS configuration: Missing TLS password
> Please set the password to environment variable `MINIO_CERT_PASSWD` so that the private key can be decrypted

这是因为生成证书的时候设置了密码：

注意：使用受密码保护的私钥时，必须MINIO_CERT_PASSWD使用以下命令通过环境变量提供密码：export MINIO_CERT_PASSWD=<PASSWORD>，<PASSWORD>替换成自己的密码不带尖括号

设置完成后，重启。没找到像nginx -s reload的命令。就查找进程，kill进程，然后在启动

1、ps -ef|grep minio 

2、 kill -9 pid

启动：nohup /usr/local/minio server /home/minio/data

启动后就能通过https是访问了。

注意：端口号还是原来设置的端口号。并不是默认的443

生成自签名证书的简单方法

https://github.com/minio/certgen

链接：https://pan.baidu.com/s/1qn4i2SZZYPs3NQbKnJ6I5w 
提取码：ektw

下载后直接执行命令，注意后面的host一定和部署的ip对应，否则启动的时候会报错

widnows下：certgen-windows-amd64.exe -ca -host "10.10.0.3,10.10.0.4,10.10.0.5"

certgen -ca -host "10.10.0.3,10.10.0.4,10.10.0.5"