nginx使用ssl模块配置HTTPS支持

默认情况下ssl模块并未被安装，如果要使用该模块则需要在编译时指定–with-http_ssl_module参数，参见 nginx的编译安装

以下默认nginx已正确安装，且加载了ssl模块。

1. https的单向认证和双向认证

从我的理解来说，http和https的主要区别在于，是否持证上岗！怎么理解？比如说有两个银行，一个有国家颁发的银行业资质证，另一个没有（记得南京某年曾经发生过一个假银行的大案）。有证的就是https，持有一个具有公信力的机构颁发的证书，让我对他更相信一些，所以在存款的时候我会更相信有证的这个。特别是在电信诈骗尤为严重的今天，https的网站能给你更多安全感，仅此而已。
什么是单向认证和双向认证？还以存钱来说，你去存钱，要银行出示从业资格证，他提供了，你核对国家提供的证书编号发现是真的，然后你把钱存进去，这就是单向验证；你验证完银行是真的，然后银行要你提供身份证，通过你的身份证号查到你的存款账户确实是这个，于是同意你把钱存进去，这就是双向验证。
显然，双向验证更安全但麻烦，单向验证很多时候就足够使用了。因此大部分情况下都是单向验证，除了少数对安全有苛刻要求的环境，比如银行。

2. 证书生成

证书一般是由几个具有公信力的大机构来提供，这样可以保证证书的权威性和公信力——收费的。由于是本地测试，这里我们自己生成个证书用，当然不会被别人认可，但是测试够用了~
a. 进入想要创建证书和秘钥的目录，一般是nginx的conf目录下，如：

cd /usr/local/nginx/conf

创建服务器私钥，执行以下命令，会让你输入一个口令，要记住它:

openssl genrsa -des3 -out server.key 1024

创建签名请求的证书(CSR)：

openssl req -new -key server.key -out server.csr

这里执行后会让你填写一些服务器相关信息，如域名、公司等数据
在加载SSL支持的nginx并使用上述私钥时除去必须的口令：

cp server.key server.key.org
openssl rsa -in server.key.org -out server.key

最后标记证书使用上述私钥和csr：

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

3. nginx配置

修改Nginx配置文件，让其包含新标记的证书和私钥，注意，https默认端口为443，不是80：

server {
    server_name YOUR_DOMAINNAME_HERE;
    listen 443;
    ssl on;
    ssl_certificate /usr/local/nginx/conf/server.crt;
    ssl_certificate_key /usr/local/nginx/conf/server.key;
}

重启nginx。
这样就可以通过以下方式访问：
https://YOUR_DOMAINNAME_HERE

另外还可以加入如下代码实现80端口重定向到443

server {
    listen 80;
    server_name ww.centos.bz;
    rewrite ^(.*) https://$server_name$1 permanent;
}