Https配置

本例在Windows下测试

        **** 在Linux下步骤基本一样,Nginx在编译的时候需要支持--with-http_ssl_module模块，不支持需重新编译安装

        **** Centos下yum install openssl openssl-devel

        **** 前提已经安装好了Openssl,并已经配置好了环境变量

        **** https可反向代理映射到http地址，但http不可反向代理映射到https地址。

 需要修改httpd.conf 、httpd-vhosts.conf两个文件

    1、修改conf/httpd.conf 取消以下注释，使apache启动时调用ssl服务：  

  #LoadModule ssl_module modules/mod_ssl.so （去掉前面的‘#’号）

   #Include conf/extra/httpd-ssl.conf （去掉前面的‘#’号）

  2、生成证书   

     win+R:cmd进入命令行，进入apache安装目录bin文件夹下

    设置OPENSSL_CONFIG配置，执行命令 set OPENSSL_CONF=..\conf\openssl.cnf

    （a）生成服务端的key文件

            执行命令：openssl genrsa -out server.key 1024

             在bin目录中生成server.key文件

    （b）生成签署申请

             执行命令：openssl req -new -out server.csr -key server.key

             在bin目录中生成server.csr文件，在执行以上命令时会提示输入相关信息，其中 Common Name [] 需要与配置文件中的ServerName一致，否则apache启动时将会报错。

            Country Name<2 letter code>[AU] : cn

            State or Province Name [Some-State] : jangsu

            Locality Name[] : nanjing

           Oraganization Name [Internet Widgits Pty Ltd]: epms.cwp

           Organizational Unit Name [] epms

           Common Name[]:ServerName

            Email Address []: ..................................

            ..................................................................................

            A challenge password []: (可不输入)

 （c）生成CA的key文件

         执行命令：openssl genrsa -out ca.key 1024

         在目录bin下生成ca.key文件

（d） 生成CA自签署证书

　　  执行命令：openssl req -new -x509 -days 365 -key ca.key -out ca.crt

   　  在目录bin下生成ca.crt文件

（e）生成CA的服务器签署证书

        执行命令：openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

        在这里报错了，按照网上的说法新建相应的文件夹，再执行一次就可以了。

        在bin下新建demoCA文件夹 　　　　　　　　　　　 =>bin/demoCA

        在demoCA下新建index.txt　　　　　　　　　　　　　　 　　=>bin/demoCA/index.txt

        在demoCA下新建serial.txt，其内容为01,重命名删除.txt =>bin/demoCA/serial

        在demoCA下新建newcert文件夹 =>sbin/demoCA/newcerts

3、修改httpd-ssl.conf文件

     （a）根据需要修改httpd-ssl.conf的默认端口号“443”，这里将所有的443修改为“6044”，同时修改ServerName。

        (b) 修改相关证书路径，把路径设置为conf下的key目录，把生成的证书放进这个目录

        SSLCertificateFile    xxx/conf/key/server.crt    （服务器证书的位置）

        SSLCertificateKeyFile    xxx/conf/key/server.key （服务器私钥的位置）

        SSLCACertificateFile    xxx/key/conf/ca.crt      （CA根证书的位置，进行客户端验证时需要)

        (c) 取消注释

        #SSLVerifyClient require （去掉前面的‘#’号，进行客户端验证时需要）

        #SSLVerifyDepth 1 （去掉前面的‘#’号，把10改为1，进行客户端验证时需要)

        (d) 选择性修改，如果在运行时报错，可修改SSLSessionCache再执行

        修改前：

         #SSLSessionCache "dbm:/Apache24/logs/ssl_scache"

          SSLSessionCache "shmcb:/Apache24/logs/ssl_scache(512000)"

          SSLSessionCacheTimeout 300

        修改后：

        SSLSessionCache "dbm:D:/phpStudy/Apache/logs/ssl_scache"

        #SSLSessionCache "shmcb:/Apache24/logs/ssl_scache(512000)"

        SSLSessionCacheTimeout 300

4、重启apache，执行两个命令net stop Apache2.2和net start Apache2.2，浏览器中输入https//..............页面会提示 It works!

5、修改httpd-vhosts.conf 设置反向代理，重启apache，浏览器中输入https//..............:6044页面会跳转到相应的代理页面（注意DocumentRoot路径要存在）

```

Listen 443

NameVirtualHost *:443

#

# VirtualHost example:

# Almost any Apache directive may go into a VirtualHost container.

# The first VirtualHost section is used for all requests that do not

# match a ServerName or ServerAlias in any  block.

#

DocumentRoot "D:/www"

ServerName ......:443

SSLEngine on

SSLProxyEngine on

SSLCertificateFile "D:/phpStudy/Apache2/conf/key/server.crt"

SSLCertificateKeyFile "D:/phpStudy/Apache2/conf/key/server.key"

ProxyRequests Off

Order deny,allow

Allow from all

ProxyPass / http://....../

ProxyPassReverse / http://....../

```

Nginx+https

       *** 和Apache一样,需要生成证书和修改配置文件

     1、生成证书

       （1） 首先在 nginx安装目录中创建ssl文件夹用于存放证书。比如我的文件目录为 C:\wnmp\nginx\ssl , 以管理员身份进入命令行模式，进入ssl文件夹。 命令为： cd  c:/wnmp/nginx/ssl               

        （2） 创建私钥　　　 

            　在命令行中执行命令： openssl genrsa -des3 -out lee.key 1024     （lee文件名可以自定义），如下图所示：   

  输入密码后，再次重复输入确认密码。记住此密码，后面会用到。    

        （3）创建csr证书    

                  在命令行中执行命令：  openssl req -new -key lee.key -out lee.csr    （key文件为刚才生成的文件，lee为自定义文件名）    

                    如上图所示，执行上述命令后，需要输入信息。输入的信息中最重要的为 Common Name，这里输入的域名即为我们要使用https访问的域名。

                    以上步骤完成后，ssl文件夹内出现两个文件：

  （4）去除密码。

　　　　    在加载SSL支持的Nginx并使用上述私钥时除去必须的口令，否则会在启动nginx的时候需要输入密码。

　　　　　复制lee.key并重命名为lee.key.org

                  可以使用此命令行，也可以使用鼠标操作     copy lee.key lee.key.org

                 去除口令，在命令行中执行此命令：  openssl rsa -in lee.key.org -out lee.key  （lee为自定义文件名）

　　　　　如下图所示，此命令需要输入刚才设置的密码。

        （5）生成crt证书

            　　　在命令行中执行此命令： openssl x509 -req -days 365 -in lee.csr -signkey lee.key -out lee.crt  （lee为自定义文件名）

   证书生成完毕，ssl文件夹中一共生成如下4个文件，我们需要使用到的是lee.crt和lee.key。

 2. 修改nginx.conf文件

    　　nginx.conf文件位于：C:\wnmp\nginx\conf

　　　找到该文件中如下代码的位置进行修改：

                修改为：                

    重启nginx， 在浏览器中，访问 https://127.0.0.1。发现出现证书认证，并能够成功访问。（127.0.0.1 为生成证书时，Common Name输入的域名）　（执行此步骤时，需要配置好Virtual Host，并且在127.0.0.1 开放目录中添加了index.php默认入口访问文件。）

   *** 访问后会发现https被红色划线是因为我们使用的是自己生成的证书，此证书不受浏览器信任，如果想使其变为绿色，则需要向证书管理机构进行申请。

3. 添加重定向，自动跳转使用https。

　在nginx.conf中virtual host中如下代码位置添加一行代码：

     重启nginx 访问http://127.0.0.1  浏览器会自动跳转到 https://127.0.0.1 并成功访问