nginx 进阶ssl、fastcgi

一、配置https网站

1、自建CA

（下面是我们自建ca的步骤，线上情况我们需要购买ca证书，才能被认证）

（1）生成私钥文件

mkdir -p /etc/pki/CA/private #创建私钥保存的目录

(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096) #创建私钥

ll /etc/pki/CA/private/ # 私钥只能自己保存，对保密性要求高

（2）生成自签证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out cacert.pem -days 7300

（3）为CA提供所需的目录和文件

touch /etc/pki/CA/index.txt # 创建数据库文件

echo 01 > /etc/pki/CA/serial # 创建序列号文件并给明第一个证书的序列号码

ll /etc/pki/CA

CA创建完成

2、证书申请（线上就直接去申请了：http://ca.aisino.com/pages/user/default.faces  ）

（1）在证书申请的主机上生成私钥

cd /etc/nginx/

mkdir ssl #创建保存私钥的目录

cd ssl

(umask 077;openssl genrsa -out nginx.key 2048)

ll

（2）生成证书签署请求

openssl req -new -key nginx.key -out nginx.csr -days 365

（3）把请求发送给CA，因为这是本机，就不发了。

（4）CA签发证书

openssl ca -in /etc/nginx/ssl/nginx.csr -out /etc/nginx/ssl/nginx.crt -days 365

报错如下：

说明我们生成自签证书没做好，上去检查那一步，发现什么事情，我们的自签证书生成到root目录下了。所以再来一次绝对路径的：openssl req -new -key /etc/pki/CA/private/cakey.pem -days 365 -x509 -out /etc/pki/CA/cacert.pem

再试试：结果如下

cd /etc/nginx/ssl 看一下：

3、配置/etc/nginx/nginx.conf

vim /etc/nginx/nginx.conf

检查，重启，测试

最后说一下几个配置项的含义：具体见官网ngx——http——ssl——moudle模块

二、fastcgi模块，LNMP

php编译时要支持fpm；php—fpm工作方式类似于httpd的prefork模式

安装：yum -y install php-fpm php-mysql php-mbstring php-gd php-xml

启动：systemctl start php-fpm.service

修改nginx.conf配置文件

一个动态请求，将请求的变量值保存在前端（nginx）的一个参数里，这个变量值向后端发起请求（代理作用），要通过fastcgi_params这个文件传递，后端主机在什么地方就要改为什么

fastcgi_param

配置如下：

测试代码如下：编辑在/web/html下的info.php文件：

结果如下：

一下是其他配置项，详情请看官方文档：