目录

前言

1. 申请ssl证书

2. 安装ssl模块

3. 配置Nginx

4. 防火墙的坑

---

前言

网站域名申请下来后，可以配置ssl证书，使得网站支持https的访问。

以下为ssl模块的配置全过程。

1. 申请ssl证书

（1）登录云服务商的系统，直接申请SSL证书；服务器类型要选择Nginx的；

（2）证书申请到后，一共有四个文件。以baidu.com为例，则四个文件名字为：

• baidu.com_bundle.crt 证书文件
• baidu.com_bundle.pem 证书文件（可忽略该文件）
• baidu.com.key 私钥文件
• baidu.com.csr CSR 文件

（3）把baidu.com_bundle.crt 证书文件和baidu.com.key 私钥文件拷贝到Nginx的conf目录。

以默认Nginx安装目为例，把上面两个文件拷贝进去目录：/usr/local/nginx/conf/

2. 安装ssl模块

（1）检查是否已经安装了ssl模块，使用命令行：/usr/local/nginx/sbin/nginx -V，是大写的V。

看configure arguments模块，如果有--with-http_ssl_module，则说明已经安装成功了（如下图）。否则需要进行安装ssl模块。

[root@VM-24-9-centos wp-content]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.21.4
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --with-http_ssl_module

（2）回到之前下载Nginx的目录，进行

./configure --prefix=/usr/local/nginx --with-http_ssl_module

（3）执行make命令，千万不要执行make install。因为make是用来编译的，而make install是安装，会覆盖你已经安装过的Nginx。

make

（4）把新的Nginx拷贝过去，把原来的进行覆盖即可

cp objs/nginx /usr/local/nginx/sbin/nginx

（5）重启Nginx，即可看到已配置ssl模块

nginx -s reload #  重启nginx
/usr/local/nginx/sbin/nginx -V

3. 配置Nginx

（1）打开配置文件

vim /usr/local/nginx/conf/nginx.conf

（2）添加ssl配置，主要有几个修改地方：server_name，ssl_certificate，ssl_certificate_key，root。继续以上述的baidu.com为例子。

如果是php网站，一定要加入底部的php解析。

server {
        #SSL 访问端口号为 443
        listen 443 ssl; 
        #填写绑定证书的域名
        server_name baidu.com; 
        #证书文件名称
        ssl_certificate baidu.com_bundle.crt; 
        #私钥文件名称
        ssl_certificate_key baidu.com.key; 
        ssl_session_timeout 5m;
        #请按照以下协议配置
        ssl_protocols TLSv1.2 TLSv1.3; 
        #请按照以下套件配置，配置加密套件，写法遵循 openssl 标准。
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
        ssl_prefer_server_ciphers on;
        location / {
           #网站主页路径。此路径仅供参考，具体请您按照实际目录操作。
           #例如，您的网站运行目录在/etc/www下，则填写/etc/www。
            root /home/baidu; 
            index  index.php index.html index.htm;
        }
        
		# php网站需要加入以下配置
        location ~ \.php$ {
            root           /home/baidu;
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include        fastcgi_params;
        }
    }

4. 防火墙的坑

（1）检查云厂商的443端口是否开放，这个很重要，否则访问不了网站，直接报错。

（2）检查服务器防火前443的端口

[root@VM-24-9-centos usr]# firewall-cmd --zone=public --list-ports
20/tcp 21/tcp 22/tcp 80/tcp 8888/tcp 39000-40000/tcp 443/tcp

 如果没有看到443/tcp，就需要添加该端口

firewall-cmd --zone=public --add-port=443/tcp --permanent

添加完毕后，关闭防火墙再打开，就生效了

systemctl stop firewalld
systemctl start firewalld