nginx配置访问https[自签版]

通过openssl生成证书

（1）设置server.key，这里需要设置两遍密码:

openssl genrsa -des3 -out server.key 1024

（2）参数设置，首先这里需要输入之前设置的密码:

openssl req -new -key server.key -out server.csr

然后需要输入如下的信息

Country Name (2 letter code) [AU]: 国家名称
State or Province Name (full name) [Some-State]: 省
Locality Name (eg, city) []: 城市
Organization Name (eg, company) [Internet Widgits Pty Ltd]: 公司名
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []: 网站域名
Email Address []: 邮箱

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: 这里要求输入密码
An optional company name []:

（3）写RSA秘钥（这里也要求输入之前设置的密码）:

openssl rsa -in server.key -out server_nopwd.key

（4）获取证书

openssl x509 -req -days 365 -in server.csr -signkey server_nopwd.key -out server.crt

（5）完成这一步之后就得到了我们需要的证书文件和RSA私钥了

• server.crt
• server_nopwd.key

配置nginx服务器，支持https访问

把前面一步生成的文件拷贝出来，然后修改nginx配置文件，添加ssl支持。

在nginx配置文件新增server节点以便用于支持https的443端口。

server {
    listen    443 ssl;
    server_name  127.0.0.1;             #域名

    ssl on;        #如果强制HTTPs访问，这行要打开
    ssl_certificate /ssl/server.crt;           #分别将路径指向证书文件和密匙文件
    ssl_certificate_key /ssl/server_nopwd.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

     # 指定密码为openssl支持的格式
     ssl_protocols  SSLv2 SSLv3 TLSv1.2;

     ssl_ciphers  HIGH:!aNULL:!MD5;  # 密码加密方式
     ssl_prefer_server_ciphers  on;   # 依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码

     # 定义首页索引目录和名称
     location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
     }

    #重定向错误页面到 /50x.html
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

后记

自签证书是不会被浏览器所信任的证书，用户在访问自签证书时，浏览器会警告用户此证书不受信任，需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况，用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。