Nginx 学习笔记(一)如何配置一个安全的HTTPS网站服务器
一、系统环境
1、系统:Ubuntu 16.04.2 LTS
2、WEB服务器:Openresty11.2.5
二、开始配置
1、获取certbot客户端
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
2、停止Nginx服务
sudo systemctl stop nginx.service
3、生成证书
./certbot-auto certonly --standalone --email `你的邮箱地址` -d `你的域名地址`
当前网站有多个域名时需在后面增加,例如:
./certbot-auto certonly --standalone --email `你的邮箱地址` -d `你的域名1` -d `你的域名2`
sudo ./certbot-auto certonly --standalone --email "yourEmail@qq.com" -d "www.tinywan.com"
-d "live.tinywan.com" -d "vod.tinywan.com" -d "livecdn.tinywan.com"
-d "nginx-vod.tinywan.com" -d "hls-auth.tinywan.com" -d "hls.tinywan.com" -d "auth.tinywan.com"
可能会出现错误1:OSError: Command /opt/eff.org/certbot/venv/bin/python2.7 - setuptools pkg_resources pip wheel failed with error code 2
通过搜索,找到了certbot的issue #issuecomment-273014451 ,原因是说,系统安装了多个版本的python,那么怎么删除呢?
解决办法:
apt-get purge python-virtualenv python3-virtualenv virtualenv
pip install virtualenv
可能会出现错误2:
Cleaning up challenges
Problem binding to port : Could not bind to IPv4 or IPv6.
解决:说明你的Nginx服务还在运行啊!赶紧的kill掉啊
成功生成证书的输出结果:
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Obtaining a new certificate
Performing the following challenges:
tls-sni- challenge for www.tinywan.com
tls-sni- challenge for live.tinywan.com
tls-sni- challenge for vod.tinywan.com
tls-sni- challenge for livecdn.tinywan.com
tls-sni- challenge for nginx-vod.tinywan.com
tls-sni- challenge for hls-auth.tinywan.com
tls-sni- challenge for hls.tinywan.com
tls-sni- challenge for auth.tinywan.com
Waiting for verification...
Cleaning up challenges IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/www.tinywan.com-/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/www.tinywan.com-/privkey.pem
Your cert will expire on --. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
4、查看生产的证书
tree /etc/letsencrypt/live/
www@TinywanAliYun:~$ sudo tree /etc/letsencrypt/live/
/etc/letsencrypt/live/
└── www.tinywan.top
├── cert.pem -> ../../archive/www.tinywan.top/cert1.pem
├── chain.pem -> ../../archive/www.tinywan.top/chain1.pem
├── fullchain.pem -> ../../archive/www.tinywan.top/fullchain1.pem
├── privkey.pem -> ../../archive/www.tinywan.top/privkey1.pem
└── README directory, files
5、编辑Nginx配置文件和开启SSL服务
sudo vim /usr/local/openresty/nginx/conf/nginx.conf
配置虚拟主机
...
# 配置HTTP请求重定向
server {
listen ;
server_name www.tinywan.top;
rewrite ^ https://$http_host$request_uri? permanent; # force redirect http to https
}
# 配置SSL证书
server {
listen ssl;
server_name www.tinywan.top;
ssl_certificate /etc/letsencrypt/live/www.tinywan.top/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.tinywan.top//privkey.pem;
#禁止在header中出现服务器版本,防止黑客利用版本漏洞攻击
server_tokens off;
set $root_path /home/www/web/golang;
root $root_path; location / {
if (!-e $request_filename) {
rewrite ^(.*)$ /index.php?s=/$ last;
break;
}
}
}
...
6、重启Nginx服务
sudo systemctl restart nginx.service
7、Let’s Encrypt 生成的免费证书为3个月时间,使用Crontab可以无限次续签证书
# 每星期1的2点30分执行更新操作
* * /home/www/bin/certbot-auto renew >>/home/www/bin/logs/encrypt_auto_update.log >&
遇到的坑,查边所有的地方都不能够解决,最后是内存不够用的问题?
OSError: Command /opt/eff.org/certbot/venv/bin/python2. - setuptools pkg_resources pip wheel failed with error code File "/usr/local/lib/python2.7/dist-packages/virtualenv.py", line , in create_environment
如何解决:
user@webserver:~$ sudo fallocate -l 1G /tmp/swapfile
user@webserver:~$ sudo chmod /tmp/swapfile
user@webserver:~$ sudo mkswap /tmp/swapfile
user@webserver:~$ sudo swapon /tmp/swapfile
最后记得释放掉分配的交换分区
user@webserver:~$ sudo swapoff /tmp/swapfile
user@webserver:~$ sudo rm /tmp/swapfile
Ubuntu 16.04更新遇到的错误:
Reading package lists... Done
Reading package lists... Done
Building dependency tree
Reading state information... Done
augeas-lenses is already the newest version (1.4.-0ubuntu1).
ca-certificates is already the newest version (20160104ubuntu1).
gcc is already the newest version (:5.3.-1ubuntu1).
libaugeas0 is already the newest version (1.4.-0ubuntu1).
libffi-dev is already the newest version (3.2.-).
python is already the newest version (2.7.-).
python-dev is already the newest version (2.7.-).
libssl-dev is already the newest version (1.0.2g-1ubuntu4.).
openssl is already the newest version (1.0.2g-1ubuntu4.).
python-virtualenv is already the newest version (15.0.+ds-3ubuntu1).
virtualenv is already the newest version (15.0.+ds-3ubuntu1).
upgraded, newly installed, to remove and not upgraded.
Creating virtual environment...
Traceback (most recent call last):
File "/usr/lib/python3/dist-packages/virtualenv.py", line , in <module>
main()
File "/usr/lib/python3/dist-packages/virtualenv.py", line , in main
symlink=options.symlink)
File "/usr/lib/python3/dist-packages/virtualenv.py", line , in create_environment
download=download,
File "/usr/lib/python3/dist-packages/virtualenv.py", line , in install_wheel
call_subprocess(cmd, show_stdout=False, extra_env=env, stdin=SCRIPT)
File "/usr/lib/python3/dist-packages/virtualenv.py", line , in call_subprocess
% (cmd_desc, proc.returncode))
OSError: Command /root/.local/share/letsencrypt/bin/python2. - setuptools pkg_resources pip wheel failed with error code
解决办法:sudo apt install letsencrypt
国外教程:https://www.vultr.com/docs/setup-let-s-encrypt-with-lighttpd-on-ubuntu-16-04
Nginx 学习笔记(一)如何配置一个安全的HTTPS网站服务器的更多相关文章
- Nginx学习笔记二基本配置
1.Nginx的配置文件默认在Nginx程序安装目录的conf二级目录下,主配置文件为nginx.conf.假设您的Nginx安装 在/usr/local/webserver/nginx/目录下,那么 ...
- nginx 学习笔记(2) nginx新手入门
这篇手册简单介绍了nginx,并提供了一些可以操作的简单的工作.前提是nginx已经被安装到你的服务器上.如果没有安装,请阅读上篇:nginx 学习笔记(1) nginx安装.这篇手册主要内容:1. ...
- Nginx学习笔记之加强篇
在上一篇文章Nginx学习笔记之应用篇中,我们已经可以正式运行自己的网站了.但是在使用Nginx服务器时还需要注意几个问题: 1.Nginx服务器上配置的单个站点的并发量不超过1024 2.Nginx ...
- Nginx学习笔记之应用篇
Nginx服务器的安装请参考Nginx学习笔记之安装篇 关于Nginx配置文档的API在这里就不一一列出,现在我们来配置第一个Nginx架构实现负载均衡的网站. 1.打开IIS,配置如下站点 重复上述 ...
- Android(java)学习笔记219:开发一个多界面的应用程序之两种意图
1.两种意图: (1)显式意图: 在代码里面用intent设置要开启Activity的字节码.class文件: (2)隐式意图: Android(java)学习笔记218:开发一个多界面的应用程序之人 ...
- Docker学习笔记之一,搭建一个JAVA Tomcat运行环境
Docker学习笔记之一,搭建一个JAVA Tomcat运行环境 前言 Docker旨在提供一种应用程序的自动化部署解决方案,在 Linux 系统上迅速创建一个容器(轻量级虚拟机)并部署和运行应用程序 ...
- Nginx学习笔记4 源码分析
Nginx学习笔记(四) 源码分析 源码分析 在茫茫的源码中,看到了几个好像挺熟悉的名字(socket/UDP/shmem).那就来看看这个文件吧!从简单的开始~~~ src/os/unix/Ngx_ ...
- 学习笔记_J2EE_SpringMVC_03_注解配置_@RequestMapping用法
@RequestMappingde的用法 摘要: 主要介绍注解@RequestMapping的用法 一.@RequestMapping 简介 在Spring MVC 中使用 @RequestMappi ...
- Android:日常学习笔记(2)——分析第一个Android应用程序
Android:日常学习笔记(2)——分析第一个Android应用程序 Android项目结构 整体目录结构分析 说明: 除了APP目录外,其他目录都是自动生成的.APP目录的下的内容才是我们的工作重 ...
随机推荐
- [书摘]图解HTTP 状态码
状态码类别: 1XX informational 信息性状态码 2XX Suess 成功状态码 3XX Redirection 重定向状态码 4XX Client error 客户端错误状态码 5 ...
- 关于ArcGIS常用功能的实现
关于ArcGIS中常见的一些功能的总结,一般首先在前台中放置地图,代码如下所示: <esri:Map Grid.Row="0" Grid.Column="0&quo ...
- CSS变形transform(2d)
前面的话 CSS变形transform是一些效果的集合,主要是移动.旋转.缩放和倾斜这四种基本操作,还可以通过设置matrix矩阵来实现更复杂的效果.变形transform可以实现2D和3D两种效果. ...
- VMware Linux虚拟机yum源更换成国内阿里源
[虚拟机系统] Centos 6.8 阿里源:https://opsx.alibaba.com/mirror 网易源:http://mirrors.163.com/ 更换yum源时请保证虚拟机和外网是 ...
- MVC DropDownList
最近发现一个 MVC中绑定前台DropDownList , 并且设置默认选中项的简单方法. 直接上代码 方案一 Action: ViewData["goodsTypeList"] ...
- 快乐的Lambda表达式(二)
转载:http://www.cnblogs.com/jesse2013/p/happylambda-part2.html 快乐的Lambda表达式 上一篇 背后的故事之 - 快乐的Lambda表达式( ...
- Jquery 行选中背景色
直接上代码: 懒得以后网上在查了,拷贝直接可用 Style: .tbSelectCss { background-color:#d5f4fe; } Html: <table name=" ...
- Codeforces Round #440 (Div. 2) A,B,C
A. Search for Pretty Integers time limit per test 1 second memory limit per test 256 megabytes input ...
- FieldGroup绑定的日期类型存储格式的问题
问题 日期存储的时候,当前数据库中存储格式为 "2017-9-5 0:00:00", 而我实现了以后,看到数据库的存储格式为 "Mon Sep 04 00:00:00 C ...
- Linux 下统计Apache每分钟的并发数
脚本非常简单,不清楚原理,逐行运行即可. 使用时将脚本复制到home目录,并添加执行权限.定时任务即可. 代码内容如下: #!/bin/sh date >> /home/date-time ...