centos的nginx支持ssl

首先看centos是否支持ssl

输入:openssl version

如无

则去 http://slproweb.com/products/Win32OpenSSL.html  寻找

centos的nginx支持ssl

生成私钥后面的1024可加密128字节长度的内容,2048可加密256字节长度的内容

对应的命令如下:

在ssl的根目录下操作:

#此步用于生成私钥,会提示输入密码,密码后面步骤需要用到;jason.key为私钥的名字,文件名可自己定
openssl genrsa -des3 -out jason.key 1024 #此步用于生成csr证书,jason.key为上一步骤生成的私钥名,jason.csr为证书,证书文件名可自定
#在此步过程中,会交互式输入一系列的信息(所在国家、城市、组织等),其中Common Name一项代表nginx服务访问用到的域名,我这里是本地测试,所以可以随意定一个jason.com,并在本地host文件中将此域名映射为127.0.0.1
openssl req -new -key jason.key -out jason.csr #此步用于去除访问密码,如果不执行此步,在配置了ssl后,nginx启动会要求输入密码
#jason.key为需要密码的key,jason-np.key为去除访问密码的key文件
#操作过程中会要求输入密码,密码为生成key文件时的密码
openssl rsa -in jason.key -out jason-np.key #此步用于生成crt证书
#jason.crt为第2步生成的csr证书名称,jason.crt为要生成的证书名称
openssl x509 -req -days 366 -in jason.csr -signkey jason-np.key -out jason.crt

输入国家系列信息:

centos的nginx支持ssl

server {
listen 443 ssl;
server_name service.youhui168.xin; ssl on;
ssl_certificate ../ssl/shopService.crt;
ssl_certificate_key ../ssl/shopService-np.key; #ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m; #ssl_ciphers HIGH:!aNULL:!MD5;
#ssl_prefer_server_ciphers on; error_log /usr/local/nginx/logs/error2.log error;
location / {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://localhost:8080/service/;
}
}

注意阿里云里面要配置好对应的入方向的443的端口规则

http://localhost:8080/service/   对应的是tomcat启动的那个service项目

如此,https访问成功

如还不成,应该是服务器的防火墙问题了:
netstat -anp 查看防火墙开的端口 
centos的nginx支持ssl

发现已经在监听了,那肯定是配置问题。 
检查配置没问题,重新生成证书等方法也还是无法访问,甚至在别的机器上https的配置copy过来依然无法访问

冷静下来想想,nginx都没有返回状态吗,直接无法连接。这到底请求到了吗?

只能进入防火墙配置文件看看了 
vim /etc/sysconfig/iptables

centos的nginx支持ssl

问题就在这里了,开放端口一定要在 
-A INPUT -j REJECT –reject-with icmp-host-prohibited 
这句的前面,的前面,的前面!!!

原因是这条规则的作用是拒绝所有-j REJECT 在iptables帮助文档里面有一下说明This is used to send back an error packet in response to the matched packet

就是表明拒绝你,并返回一个错误连接信息。请求没到nginx那,肯定没有状态码返回,同时你的浏览器返回的只能是无法连接。

===============================================================
另一个test例子
证书同上配置
nginx的配置是:
server {
listen 443 ssl;
server_name test.youhui168.xin;
ssl_certificate ../ssl/test.crt;
ssl_certificate_key ../ssl/test-np.key;
#ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://localhost:80/;
}
} server {
listen 80;
server_name test.youhui168.xin;
root /home/wwwroot/test;
index index.php; location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PHP_VALUE open_basedir=$document_root:/tmp/:/proc/;
include fastcgi_params;
} }
如此,https访问成功
上一篇:mysql、pymysql、SQLAlchemy


下一篇:20145329 《Java程序设计》第七周学习总结