Nginx安装和证书配置

一  Nginx的安装
Nginx的安装依赖于以下三个包,意思就是在安装Nginx之前首先必须安装一下的三个包,注意安装顺序如下:
1 SSL功能需要openssl库,直接通过yum安装: #yum install openssl
2 gzip模块需要zlib库,直接通过yum安装: #yum install zlib
3 rewrite模块需要pcre库,直接通过yum安装: #yum install pcre
可能有的系统安装的时候直接安装了,不用上述安装
2、安装Nginx依赖项和Nginx
1 使用yum安装nginx需要包括Nginx的库,安装Nginx的库
#rpm -Uvh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm
       可能环境不同可能不需要安装。
2 使用下面命令安装nginx
#yum install nginx
3 启动Nginx
#service nginx start
二  证书下载
去阿里云下载相关的免费证书。在阿里云控制台-产品与服务-安全(云盾)-SSL 证书(应用安全),点击购买证书,根据不同的服务器类型下载不同类型的证书。
此次下载的是nginx证书。
三  配置ca证书
1,nginx的安装目录为:/etc/nginx/。进入目录,增加cert/文件夹,把刚刚下载的两个文件上传到cert/文件夹中。
2,在/etc/nginx/sites-enabled/下,增加csales.jiaxxxxx.tv文件。/etc/nginx/sites-enabled/目录在centos安装的时候没有,需要手工创建。在ubuntu进行安装的时候默认已创建
内容如下:
说明:下面的配置是对443端口和80端口进行监听,443端口要启用ssl。
笔者创建了一个csales.jiaxxxxx.tv/的文件夹,专门存放来自这个域名的请求以示区分。
csales.jiaxxxxx.tv/文件夹下增加一个index.html文件,里面仅仅写了一行

welcome。
vi  /etc/nginx/sites-enabled/csales.jiaxxxxx.tv  内容如下:
server {
    listen 443;
    server_name csales.jiaxxxxx.tv; // 你的域名,不能解析需要在/etc/hosts文件加入,需要跟您的证书域名一直
    ssl on;
    root /var/www/csales.jiaxxxxx.tv;  // 前台文件存放文件夹,可改成别的
    index index.html index.htm; // 上面配置的文件夹里面的index.html
    ssl_certificate  cert/fullchain11.pem; // 改成你的证书的名字
    ssl_certificate_key cert/privkey11.pem; // 你的证书的名字
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    location / {
        index index.html index.htm;
    }
}
server {
    listen 80;
    server_name csales.jiaxxxxx.tv; // 你的域名
    rewrite ^(.*)$ https://$host$1 permanent; // 把http的域名请求转成https
}
配置完成后,检查一下nginx配置文件是否可用,有successful表示可用。
$ nginx -t // 检查nginx配置文件
配置正确后,重新加载配置文件使配置生效:
$ nginx -s reload // 使配置生效
至此,nginx的https访问就完成了,并且通过rewrite方式把所有http请求也转成了https请求,更加安全。
如需重启nginx,用以下命令:
$ service nginx stop // 停止
$ service nginx start // 启动
$ service nginx restart // 重启
四,测试效果
输入http://csales.jiaxxxxx.tv;/也会自动跳转至https页面。
五 Nginx报错处理
Nginx报错403 forbidden (13: Permission denied)的解决办法
查看/var/log/nginx/error.log日志显示:xxx 403 forbidden (13: Permission denied)错误。
引起nginx 403 forbidden通常是三种情况:一是缺少索引文件,二是权限问题,三是SELinux状态。
1、缺少index.html或者index.php文件,就是配置文件中index index.html index.htm这行中的指定的文件。
如果在/var/www/csales.jiaxxxxx.tv下面没有index.php,index.html的时候,直接访问域名,找不到文件,会报403 forbidden。
2、权限问题,如果nginx没有web目录的操作权限,也会出现403错误。
解决办法:修改web目录的读写权限,或者是把nginx的启动用户改成目录的所属用户,重启Nginx即可解决
chmod -R 755 / var/www/csales.jiaxxxxx.tv
3、SELinux设置为开启状态(enabled)的原因
首先查看本机SELinux的开启状态,如果SELinux status参数为enabled即为开启状态
/usr/sbin/sestatus -v
或者使用getenforce命令检查,找到原因了,如何关闭 SELinux 呢
临时关闭(不用重启)
setenforce 0
修改配置文件 /etc/ selinux/config,将SELINUX=enforcing改为SELINUX=disabled
六  其他错误
1. 没有出来您配置的页面
修改配置文件/etc/nginx/nginx.conf 引入配置文件,增加如下一行
include /etc/nginx/sites-enabled/*;
去掉配置文件nginx.conf中的 server  {   }部分
2   证书到期
证书到期后会出现此网站不安全或者证书到期的提示。进行如下的处理
检查证书是否到期
 [root@storage01 cert]#  openssl x509 -in fullchain11.pem  -noout -dates
notBefore=Mar  3 15:33:55 2019 GMT  证书开始日期
notAfter=Jun  1 15:33:55 2019 GMT   证书到期日志
重新生产证书进行替换。

 

你可能感兴趣的:(nginx)