阿里云lnmp开启https，ssl配置方法详细流程

admin2023-01-186633

我的环境情况：阿里云服务器、lnmp一件安装包环境、TrustAsia免费证书、已有网站改造https。

一、申请证书：

申请证书方式就不讲解了，跟阿里云的一样，可以看阿里云虚拟主机https改造方法详解, 申请个阿里云的免费证书，下面的操作方式一样。

把下载好的证书压缩包解压，解压后会有两个文件，.crt的为证书，.key的为公钥，把它们上传到服务器上，我传的目录为/usr/local/nginx/conf目录。

二、nginx配置证书：

执行lnmp ssl add命令，然后按提示一步步操作。操作完成后等待一会儿。

出现成功提示说明已经配置完成，这个时候服务器发生了两个变化

1、在/usr/local/nginx/conf目录里会多一个ssl目录，在ssl目录里有一个.pem结尾的文件。

2、在网站对应的配置文件www.***.com.conf内部最下面多了一层server。

server
{
listen 443 ssl http2;
#listen [::]:443 ssl http2;
server_name www.***.com ***.com;
index index.html index.htm index.php default.html default.htm default.php;
root  /home/wwwroot/www.***.com/;
ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/www.***.com.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/www.***.com.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";
ssl_session_cache builtin:1000 shared:SSL:10m;
# openssl dhparam -out /usr/local/nginx/conf/ssl/dhparam.pem 2048
ssl_dhparam /usr/local/nginx/conf/ssl/dhparam.pem;

include zblog.conf;    #这是引用伪静态规则，不会自动生成，根据所使用的程序不同而不同，我这个是zblog，防止不能打开伪静态页面。
#error_page   404   /404.html;

# Deny access to PHP files in specific directory
#location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; }

include enable-php.conf;

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires      30d;
}

location ~ .*\.(js|css)?$
{
expires      12h;
}

location ~ /.well-known {
allow all;
}

location ~ /\.
{
deny all;
}

access_log  /home/wwwlogs/www.acjlb.com.log;
}

三、开启443端口。

这是阿里云服务器的坑，在服务器内使用命令查看端口开启情况时，443端口是开的，但是阿里云的规则是关闭的，这个时候需要到阿里云服务器的后台进行开启。

后台=》云服务器ESC=》实例=》管理=》本实例安全组=》配置规则=》添加安全组规则

然后就可以通过https访问了，但这个时候还有两个问题：

1、网站可以访问，但是css不能加载，这是网站程序的问题，因为调用css的代码还是http，这个需要修改程序。zblog在后台网站管理里修改。

网站地址改成https即可。

2、http和https都可以打开网站，http不能跳转到https。

修改该网站的配置文件**.conf，在上面监控80端口的server内加上301

server
{
listen 80;
#listen [::]:80;
server_name www.acjlb.com acjlb.com;
index index.html index.htm index.php default.html default.htm default.php;
root  /home/wwwroot/www.acjlb.com;

include zblog.conf;
#error_page   404   /404.html;
return 301 https://$server_name$request_uri;   //加上这句跳转即可
# Deny access to PHP files in specific directory
#location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; }

include enable-php.conf;

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires      30d;
}

location ~ .*\.(js|css)?$
{
expires      12h;
}

location ~ /.well-known {
allow all;
}

location ~ /\.
{
deny all;
}

access_log  /home/wwwlogs/www.acjlb.com.log;
}

server

结束，完美。

https改造 ssl配置