[python][nginx][https] Nginx 服务器 SSL 证书安装部署

目录

• 前言
• 1 申请证书
• 2 Nginx 服务器 SSL 证书安装部署
  • 2.1、准备 Nginx 环境
  • 2.2 证书部署
  • 2.3 Nginx 配置
• 3 最后
• 参考链接

前言

博主博客中的图片，使用的是自己搭建的图床（在腾讯云+python+自己的域名），由于之前采用的是 http，会被浏览器当成不安全链接，把图片给屏蔽。因此，博主着手将其无缝替换为 https，本文是操作细节。

1 申请证书

在腾讯云平台，提供 1 年的免费证书：

https://console.cloud.tencent.com/ssl

上面是我申请的两个证书。

注： 因为是一年免费的证书，每个二级域名都要单独申请一个，我第一次只申请一个一级域名，发现不行！！！

2 Nginx 服务器 SSL 证书安装部署

我们上面申请的是国际加密标准的 SSL 证书，并且准备部署在 Nginx 服务器上，因此参考：https://cloud.tencent.com/document/product/400/35244

2.1、准备 Nginx 环境

博主服务器环境是 ubuntu，其默认的 nginx 版本太低，因此需要手动编译安装：

1）完全卸载原来 nginx：sudo apt-get auto-remove nginx

2）下载，编译，安装：

wget http://nginx.org/download/nginx-1.18.0.tar.gz
wget http://downloads.sourceforge.net/project/pcre/pcre/8.35/pcre-8.35.tar.gz

# 安装 zlib, openssl （编译工具，如果没有也要安装）
sudo apt-get install zlib1g-dev
sudo apt-get install openssl
sudo apt-get install libssl-dev

# 安装PCRE
tar zxvf pcre-8.35.tar.gz
cd pcre-8.35
sudo ./configure
sudo make
sudo make install

# 安装nginx
tar zxvf nginx-1.18.0.tar.gz
cd nginx-1.18.0.tar.gz
sudo ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
sudo make
sudo make install

注意：

• 需要完全删除老的 Nginx
• nginx 编译选项一定要带 --with-http_ssl_module ，否则无法使用 ssl (运行 ./sbin/nginx -t 时会报错)
• ./configure: error: SSL modules require the OpenSSL library. 需要安装 libssl-dev (ubuntu 编译nginx时出错解决办法)

3）生成 nginx 软链接

安装之后，在 /usr/bin 中建立一个 nginx软链接:

ln -s /usr/local/nginx/sbin/nginx nginx

2.2 证书部署

参考：https://cloud.tencent.com/document/product/400/35244

1）在 SSL 证书管理控制台 中选择您需要安装的证书并单击下载

2）通过 scp 等方法，将下载的压缩包送到远程服务器，解压后:

➜  tuchuang.beautifulzzzz.com_nginx tree
.
├── tuchuang.beautifulzzzz.com_bundle.crt 证书文件
├── tuchuang.beautifulzzzz.com_bundle.pem 证书文件（可忽略该文件）
├── tuchuang.beautifulzzzz.com.csr CSR 文件
└── tuchuang.beautifulzzzz.com.key 私钥文件

3）将 crt 和 key 文件复制到 nginx config 目录下：

cd /usr/local/nginx/conf
mv ~/Download/tuchuang.beautifulzzzz.com_nginx/tuchuang.beautifulzzzz.com.key  ./
mv ~/Download/tuchuang.beautifulzzzz.com_nginx/tuchuang.beautifulzzzz.com_bundle.crt  ./

2.3 Nginx 配置

此操作可通过执行 vim /usr/local/nginx/conf/nginx.conf 命令行编辑该文件：

server {
    #SSL 访问端口号为 3000
    listen 3000 ssl;
    #填写绑定证书的域名
    server_name tuchuang.beautifulzzzz.com;
    #证书文件名称
    ssl_certificate tuchuang.beautifulzzzz.com_bundle.crt;
    #私钥文件名称
    ssl_certificate_key tuchuang.beautifulzzzz.com.key;
    ssl_session_timeout 5m;
    #请按照以下协议配置
    ssl_protocols TLSv1.2 TLSv1.3;
    #请按照以下套件配置，配置加密套件，写法遵循 openssl 标准。
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;

	# nginx 端口重映射，可以这样写
    # 当访问： https://tuchuang.beautifulzzzz.com:3000 时，会映射到 http://127.0.0.1:8000
    location / {
        proxy_pass  http://127.0.0.1:8000;
    }

    #location / {    <-- 如果你不需要借助 nginx 端口重映射，可以这样写
    #   #网站主页路径。此路径仅供参考，具体请您按照实际目录操作。
    #   #例如，您的网站运行目录在/etc/www下，则填写/etc/www。
    #    root html;
    #    index  index.html index.htm;
    #}
}

因为，我之前图床图片链接都是 http，我不想改变原来的链接，可以通过 nginx 重映射实现：

server {
    listen 3000;
    #填写绑定证书的域名
    server_name tuchuang.beautifulzzzz.com;

    rewrite ^(.*)$  https://$host$1 permanent;
    #把http的域名请求转成https
    #return 301 https://$host$request_uri;
}

这样，每次浏览器访问 http://tuchuang.beautifulzzzz.com:3000，会被自动转到 https://tuchuang.beautifulzzzz.com:3000，然后在借助上面配置，可以最终转到 http://127.0.0.1:8000。

最后，可以在 Nginx 根目录下，通过执行以下命令验证配置文件是否有问题：

./sbin/nginx -t

没问题后，运行下列命令重启 nginx 即可（如果报 nginx.pid 错，参考链接 8）：

nginx -s reload

注意： 好像 markdown 和 curl 等不能自动将 http 转换为 https。

3 最后

发布这个博文时，如果大家能在浏览器中不报警告情况下看到图片，说明我们上面一顿操作成功了！

其实，还有个小工作要做 —— 就是更新图片上传的脚本：

➜  Pictures cat run.sh
#!/bin/bash

ret=`curl https://tuchuang.beautifulzzzz.com:3000/api/v1/upimg -F "file=@$1" -H "token:密码" -v`

cnt=1
if [ ! -f "tuchuang.log" ]; then
    echo $cnt > tuchuang.log
else
    cnt=`cat tuchuang.log`
    cnt=$((cnt+1))
    echo $cnt > tuchuang.log
fi

echo ""
echo $ret | jq .

param=`echo $ret | jq .data.path | sed 's:\"::g'`
echo [p$cnt]:https://tuchuang.beautifulzzzz.com:3000/?path=$param

参考链接

[1]. 如何选择 SSL 证书安装部署类型？

[2]. Nginx 服务器 SSL 证书安装部署(RSA)

[3]. 服务器如何开启443端口？-> 添加安全组规则

[4]. ssl证书是一个域名一个证书吗 ?

[5]. CentOS7上部署Nginx实现https和http重定向https

[6]. ubuntu18.04安装Nginx1.18.0 - 安装记录

[7]. nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module

[8]. 解决Nginx: [error] open() ＂/usr/local/Nginx/logs/Nginx.pid" failed（2:No such file or directory）

[9]. 让你的网站免费支持 HTTPS 及 Nginx 平滑升级

[10]. ubuntu 编译nginx时出错解决办法

[11]. 自建图床服务器

---

: 陆续更新中...