Nginx高级配置-实现多域名HTTPS

                                       作者:尹正杰

版权声明:原创作品,谢绝转载!否则将追究法律责任。

一.Nginx支持基于单个IP实现多域名的功能

  Nginx支持基于单个IP实现多域名的功能,并且还支持单IP多域名的基础之上实现HTTPS,这一点Apache Httpd是不支持的,其实是基于Nginx的SNI(Server Name Indication)功能实现,SNI是为了解决一个Nginx服务器内使用一个IP绑定多个域名和证书的功能,其具体功能是客户端在连接到服务器建立SSL链接之前先发送要访问站点的域名(Hostname),这样服务器再根据这个域名返回给客户端一个合适的证书。

  其实配置基于单个IP实现多域名的HTTPS方式也就是重复单个网站的https配置相应步骤。我的实验环境是在基于Nginx配置单个网站的https(博客链接:https://www.cnblogs.com/yinzhengjie/p/12052401.html),也就是上一次试验基础之上继续后续的步骤。




二.生成自签名证书


1>.生成"mobile.yinzhengjie.org.cn"网站使用的密钥对




[root@node101.yinzhengjie.org.cn ~]# cd /yinzhengjie/softwares/nginx/certs/

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 24

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout mobile.yinzhengjie.org.cn.key -out mobile.yinzheng

jie.org.cn.csrGenerating a 4096 bit RSA private key

.......................................................................................................................++

................................................................++

writing new private key to 'mobile.yinzhengjie.org.cn.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:beijing

Locality Name (eg, city) [Default City]:beijing

Organization Name (eg, company) [Default Company Ltd]:yinzhengjie

Organizational Unit Name (eg, section) []:devops

Common Name (eg, your name or your server's hostname) []:mobile.yinzhengjie.org.cn        #这里写网站的主机名称

Email Address []:y1053419035@qq.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:                                           #这里不要写密码

An optional company name []:

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 32

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr               #是一个公钥,即证书请求文件

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key               #私钥

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# 




2>.签发证书




[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 32

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# openssl x509 -req -days 3650 -in mobile.yinzhengjie.org.cn.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out mobile.yinzhengjie.org.cn.crt
Signature ok

subject=/C=CN/ST=beijing/L=beijing/O=yinzhengjie/OU=devops/CN=mobile.yinzhengjie.org.cn/emailAddress=y1053419035@qq.com

Getting CA Private Key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 36

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 10:19 ca.srl

-rw-r--r-- 1 root root 2049 Dec 22 10:19 mobile.yinzhengjie.org.cn.crt            #已经被自己的CA服务器签发的证书文件

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# 




三.Nginx证书配置


1>.查看主配置文件




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf/nginx.conf

worker_processes  4;

worker_cpu_affinity 00000001 00000010 00000100 00001000; 

events {

   worker_connections  100000;

   use epoll;

   accept_mutex on;

   multi_accept on;

}

   http {

     include       mime.types;

     default_type  text/html;

     charset utf-8;

     log_format my_access_json '{"@timestamp":"$time_iso8601",' '"host":"$server_addr",' '"clientip":"$remote_addr",' '"size":$body_bytes_sent,' '"responsetime":$request_ti

me,' '"upstreamtime":"$upstream_response_time",' '"upstreamhost":"$upstream_addr",' '"http_host":"$host",' '"uri":"$uri",' '"domain":"$host",' '"xff":"$http_x_forwarded_for",' '"referer":"$http_referer",' '"tcp_xff":"$proxy_protocol_addr",' '"http_user_agent":"$http_user_agent",' '"status":"$status"}';

    access_log logs/access_json.log my_access_json;

    ssl_certificate /yinzhengjie/softwares/nginx/certs/www.yinzhengjie.org.cn.crt;

    ssl_certificate_key /yinzhengjie/softwares/nginx/certs/www.yinzhengjie.org.cn.key;

    ssl_session_cache shared:sslcache:20m;

    ssl_session_timeout 10m;

    include /yinzhengjie/softwares/nginx/conf.d/*.conf;

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ll /yinzhengjie/softwares/nginx/conf.d/

total 8

-rw-r--r-- 1 root root 186 Dec 22 09:22 https.conf              #这个配置文件就是我们上一篇博客配置的内容

-rw-r--r-- 1 root root 438 Dec 22 10:25 mobile.conf              #这个配置是咱们新配置的域名

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 








[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/https.conf

server {

    listen 80;

    listen 443 ssl;

    server_name www.yinzhengjie.org.cn;

    location / {

       root /yinzhengjie/data/web/nginx/static;

       index index.html;

    }

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]# 




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/https.conf


2>.编辑mobile的配置文件支持https功能




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/mobile.conf

server {

    listen 80;

    listen 443 ssl;

    server_name mobile.yinzhengjie.org.cn;

    ssl_certificate /yinzhengjie/softwares/nginx/certs/mobile.yinzhengjie.org.cn.crt;

    ssl_certificate_key /yinzhengjie/softwares/nginx/certs/mobile.yinzhengjie.org.cn.key;

    ssl_session_cache shared:sslcache:20m;

    ssl_session_timeout 10m;   

    location / {

       root /yinzhengjie/data/web/nginx/mobile;

       index index.html;

    }

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 




3>.创建mobile网站的测试数据




[root@node101.yinzhengjie.org.cn ~]# mkdir -pv /yinzhengjie/data/web/nginx/mobile

mkdir: created directory ‘/yinzhengjie/data/web/nginx/mobile’

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# vim /yinzhengjie/data/web/nginx/mobile/index.html

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/data/web/nginx/mobile/index.html

<!doctype html>

<html lang="en">

<head>

    <meta charset="UTF-8" />

    <title>尹正杰的网页</title>

    <style type="text/css">

        h1{

            background-color: red;

            margin: 0;

            float: right;

            color: yellow;

        }

    </style>

</head>

<body>

     <h1>我的博客地址:https://www.cnblogs.com/yinzhengjie</H1>

</body>

</html>

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 




4>.重新加载nginx的配置文件




[root@node101.yinzhengjie.org.cn ~]# ps -ef | grep nginx | grep -v grep

root      9901     1  0 09:28 ?        00:00:00 nginx: master process nginx

nginx     9902  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9903  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9904  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9905  9901  0 09:28 ?        00:00:00 nginx: worker process

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -s reload

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ps -ef | grep nginx | grep -v grep

root      9901     1  0 09:28 ?        00:00:00 nginx: master process nginx

nginx    24916  9901  4 10:41 ?        00:00:00 nginx: worker process

nginx    24917  9901  5 10:41 ?        00:00:00 nginx: worker process

nginx    24918  9901  5 10:41 ?        00:00:00 nginx: worker process

nginx    24919  9901  5 10:41 ?        00:00:00 nginx: worker process

[root@node101.yinzhengjie.org.cn ~]# 




5>.客户端浏览器分别访问"http://mobile.yinzhengjie.org.cn/"和"https://mobile.yinzhengjie.org.cn/"


												


											
Nginx 高级配置-实现多域名HTTPS的更多相关文章
	

    
								
  1. Nginx 高级配置-https 功能
		
    Nginx 高级配置-https 功能 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.HTTPS工作过程 1>.SSL/TLS SSL(Secure Socket Lay ...
    
		
    2. 
						
  2. Nginx 高级配置--关于favicon.ico
		
    Nginx 高级配置--关于favicon.ico 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.浏览器会默认帮咱们访问官网的图标 1>.浏览器访问网站"htt ...
    
		
    3. 
						
  3. Nginx 高级配置-压缩功能
		
    Nginx 高级配置-压缩功能 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.Nginx压缩相关参数概述 1>.gzip on | off; Nginx支持对指定类型的文 ...
    
		
    4. 
						
  4. Nginx 高级配置-自定义json格式日志
		
    Nginx 高级配置-自定义json格式日志 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 在大数据运维工作中,我们经常会使用flume,filebeat相关日志收集工具取收集日志 ...
    
		
    5. 
						
  5. Nginx 高级配置-变量使用
		
    Nginx 高级配置-变量使用 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任.  nginx的变量可以在配置文件中引用,作为功能判断或者日志等场景使用,变量可以分为内置变量和自定义变 ...
    
		
    6. 
						
  6. Nginx 高级配置-第三方模块编译
		
    Nginx 高级配置-第三方模块编译 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 第三模块是对nginx 的功能扩展,第三方模块需要在编译安装Nginx 的时候使用参数--add ...
    
		
    7. 
						
  7. Ubuntu Nginx下配置网站ssl实现https访问
		
    最近在看  HTTP权威指南   看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介 什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...
    
		
    8. 
						
  8. Nginx 高级配置-状态页配置
		
    Nginx 高级配置-状态页配置 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 建议将nginx的监控状态的值通过zabbix或者Open-Falcon之类的监控工具来监控状态,并 ...
    
		
    9. 
						
  9. Nginx高级配置,同1台机器部署多个tomcat、配置多个域名,每个域名指向某一个tomcat下的项目,共用Nginx80端口访问;
		
    需求说明: 只有一台服务器和一个公网IP,多个项目部署在这台机器上面,且每个项目使用一个单独的域名访问,域名访问时都通过Nginx的80端口访问.(如下图所示) 配置过程: 一.tomcat的serv ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. <Array> 41 134
			
    41. First Missing Positive 思路是把1放在数组第一个位置 nums[0],2放在第二个位置 nums[1],即需要把 nums[i] 放在 nums[nums[i] - 1] ...
    
			
    2. 
						
  2. vue和react的区别
			
    数据: vue:双向数据绑定和单向数据流.双向数据绑定:DOM元素绑定的data值,当发生改变后,vue的响应式机制会自动监听data的变化重新渲染.单向数据流:当父组件给子组件传递数据的时候,子组件 ...
    
			
    3. 
						
  3. 【转】K-Means聚类算法原理及实现
			
    k-means 聚类算法原理: 1.从包含多个数据点的数据集 D 中随机取 k 个点,作为 k 个簇的各自的中心. 2.分别计算剩下的点到 k 个簇中心的相异度,将这些元素分别划归到相异度最低的簇.两 ...
    
			
    4. 
						
  4. 初识程序设计,Linux使用问题记录
			
    刚开始实在csdn写的,排版csdn更好看,本文链接:https://blog.csdn.net/qq_30282649/article/details/102910972 @[TOC](刚开始学习计 ...
    
			
    5. 
						
  5. B1020 月饼(25分)
			
    #include<cstdio> #include<algorithm> #include<iostream> using namespace std; struc ...
    
			
    6. 
						
  6. CF1194F Crossword Expert(数论,组合数学)
			
    不难的一题.不知道为什么能 $2500$…… 不过场上推错了一直不会优化…… 首先考虑 $f_i$ 表示恰好做完前 $i$ 道题的概率. 这样很难算.修改一下,$f_i$ 表示做完至少 $i$ 道题的 ...
    
			
    7. 
						
  7. [LeetCode] 493. Reverse Pairs 翻转对
			
    Given an array nums, we call (i, j) an important reverse pair if i < j and nums[i] > 2*nums[j] ...
    
			
    8. 
						
  8. JAVA开发者大会-Spring Cloud网关分享
			
    新书购买:单本75折包邮
    
			
    9. 
						
  9. c语言编译器一个不会报错的陷阱
			
    1, 由于数字1和小写字母L(l)长得特别像,特别是VS默认字体里的,所以 double a; scanf("%1f",&a); double b; scanf(" ...
    
			
    10. 
						
  10. python3中用django下载文件,中文名乱码怎么办?
			
    前段时间被某个前端小可爱鄙视了一下,说我博客都一年不更新了,我不服,明明还有俩月才到一年呢.不过说是这么说,还是要更新一下的. 以上都是借口,下面开始正文.     我公司的某个内部系统,用djang ...
    
			
    11.