阿里云lnmp开启https,ssl配置方法详细流程
我的环境情况:阿里云服务器、lnmp一件安装包环境、TrustAsia免费证书、已有网站改造https。
一、申请证书:
申请证书方式就不讲解了,跟阿里云的一样,可以看阿里云虚拟主机https改造方法详解, 申请个阿里云的免费证书,下面的操作方式一样。
把下载好的证书压缩包解压,解压后会有两个文件,.crt的为证书,.key的为公钥,把它们上传到服务器上,我传的目录为/usr/local/nginx/conf目录。
二、nginx配置证书:
执行lnmp ssl add命令,然后按提示一步步操作。操作完成后等待一会儿。
出现成功提示说明已经配置完成,这个时候服务器发生了两个变化
1、在/usr/local/nginx/conf目录里会多一个ssl目录,在ssl目录里有一个.pem结尾的文件。
2、在网站对应的配置文件www.***.com.conf内部最下面多了一层server。
server { listen 443 ssl http2; #listen [::]:443 ssl http2; server_name www.***.com ***.com; index index.html index.htm index.php default.html default.htm default.php; root /home/wwwroot/www.***.com/; ssl on; ssl_certificate /usr/local/nginx/conf/ssl/www.***.com.crt; ssl_certificate_key /usr/local/nginx/conf/ssl/www.***.com.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5"; ssl_session_cache builtin:1000 shared:SSL:10m; # openssl dhparam -out /usr/local/nginx/conf/ssl/dhparam.pem 2048 ssl_dhparam /usr/local/nginx/conf/ssl/dhparam.pem; include zblog.conf; #这是引用伪静态规则,不会自动生成,根据所使用的程序不同而不同,我这个是zblog,防止不能打开伪静态页面。 #error_page 404 /404.html; # Deny access to PHP files in specific directory #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; } include enable-php.conf; location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; } location ~ .*\.(js|css)?$ { expires 12h; } location ~ /.well-known { allow all; } location ~ /\. { deny all; } access_log /home/wwwlogs/www.acjlb.com.log; }
三、开启443端口。
这是阿里云服务器的坑,在服务器内使用命令查看端口开启情况时,443端口是开的,但是阿里云的规则是关闭的,这个时候需要到阿里云服务器的后台进行开启。
后台=》云服务器ESC=》实例=》管理=》本实例安全组=》配置规则=》添加安全组规则
然后就可以通过https访问了,但这个时候还有两个问题:
1、网站可以访问,但是css不能加载,这是网站程序的问题,因为调用css的代码还是http,这个需要修改程序。zblog在后台网站管理里修改。
网站地址改成https即可。
2、http和https都可以打开网站,http不能跳转到https。
修改该网站的配置文件**.conf,在上面监控80端口的server内加上301
server { listen 80; #listen [::]:80; server_name www.acjlb.com acjlb.com; index index.html index.htm index.php default.html default.htm default.php; root /home/wwwroot/www.acjlb.com; include zblog.conf; #error_page 404 /404.html; return 301 https://$server_name$request_uri; //加上这句跳转即可 # Deny access to PHP files in specific directory #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; } include enable-php.conf; location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; } location ~ .*\.(js|css)?$ { expires 12h; } location ~ /.well-known { allow all; } location ~ /\. { deny all; } access_log /home/wwwlogs/www.acjlb.com.log; } server
结束,完美。