Nginx高级配置-实现多域名HTTPS

                                       作者:尹正杰

版权声明:原创作品,谢绝转载!否则将追究法律责任。

一.Nginx支持基于单个IP实现多域名的功能

  Nginx支持基于单个IP实现多域名的功能,并且还支持单IP多域名的基础之上实现HTTPS,这一点Apache Httpd是不支持的,其实是基于Nginx的SNI(Server Name Indication)功能实现,SNI是为了解决一个Nginx服务器内使用一个IP绑定多个域名和证书的功能,其具体功能是客户端在连接到服务器建立SSL链接之前先发送要访问站点的域名(Hostname),这样服务器再根据这个域名返回给客户端一个合适的证书。

  其实配置基于单个IP实现多域名的HTTPS方式也就是重复单个网站的https配置相应步骤。我的实验环境是在基于Nginx配置单个网站的https(博客链接:https://www.cnblogs.com/yinzhengjie/p/12052401.html),也就是上一次试验基础之上继续后续的步骤。




二.生成自签名证书


1>.生成"mobile.yinzhengjie.org.cn"网站使用的密钥对




[root@node101.yinzhengjie.org.cn ~]# cd /yinzhengjie/softwares/nginx/certs/

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 24

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout mobile.yinzhengjie.org.cn.key -out mobile.yinzheng

jie.org.cn.csrGenerating a 4096 bit RSA private key

.......................................................................................................................++

................................................................++

writing new private key to 'mobile.yinzhengjie.org.cn.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:beijing

Locality Name (eg, city) [Default City]:beijing

Organization Name (eg, company) [Default Company Ltd]:yinzhengjie

Organizational Unit Name (eg, section) []:devops

Common Name (eg, your name or your server's hostname) []:mobile.yinzhengjie.org.cn        #这里写网站的主机名称

Email Address []:y1053419035@qq.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:                                           #这里不要写密码

An optional company name []:

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 32

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr               #是一个公钥,即证书请求文件

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key               #私钥

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# 




2>.签发证书




[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 32

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# openssl x509 -req -days 3650 -in mobile.yinzhengjie.org.cn.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out mobile.yinzhengjie.org.cn.crt
Signature ok

subject=/C=CN/ST=beijing/L=beijing/O=yinzhengjie/OU=devops/CN=mobile.yinzhengjie.org.cn/emailAddress=y1053419035@qq.com

Getting CA Private Key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 36

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 10:19 ca.srl

-rw-r--r-- 1 root root 2049 Dec 22 10:19 mobile.yinzhengjie.org.cn.crt            #已经被自己的CA服务器签发的证书文件

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# 




三.Nginx证书配置


1>.查看主配置文件




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf/nginx.conf

worker_processes  4;

worker_cpu_affinity 00000001 00000010 00000100 00001000; 

events {

   worker_connections  100000;

   use epoll;

   accept_mutex on;

   multi_accept on;

}

   http {

     include       mime.types;

     default_type  text/html;

     charset utf-8;

     log_format my_access_json '{"@timestamp":"$time_iso8601",' '"host":"$server_addr",' '"clientip":"$remote_addr",' '"size":$body_bytes_sent,' '"responsetime":$request_ti

me,' '"upstreamtime":"$upstream_response_time",' '"upstreamhost":"$upstream_addr",' '"http_host":"$host",' '"uri":"$uri",' '"domain":"$host",' '"xff":"$http_x_forwarded_for",' '"referer":"$http_referer",' '"tcp_xff":"$proxy_protocol_addr",' '"http_user_agent":"$http_user_agent",' '"status":"$status"}';

    access_log logs/access_json.log my_access_json;

    ssl_certificate /yinzhengjie/softwares/nginx/certs/www.yinzhengjie.org.cn.crt;

    ssl_certificate_key /yinzhengjie/softwares/nginx/certs/www.yinzhengjie.org.cn.key;

    ssl_session_cache shared:sslcache:20m;

    ssl_session_timeout 10m;

    include /yinzhengjie/softwares/nginx/conf.d/*.conf;

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ll /yinzhengjie/softwares/nginx/conf.d/

total 8

-rw-r--r-- 1 root root 186 Dec 22 09:22 https.conf              #这个配置文件就是我们上一篇博客配置的内容

-rw-r--r-- 1 root root 438 Dec 22 10:25 mobile.conf              #这个配置是咱们新配置的域名

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 








[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/https.conf

server {

    listen 80;

    listen 443 ssl;

    server_name www.yinzhengjie.org.cn;

    location / {

       root /yinzhengjie/data/web/nginx/static;

       index index.html;

    }

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]# 




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/https.conf


2>.编辑mobile的配置文件支持https功能




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/mobile.conf

server {

    listen 80;

    listen 443 ssl;

    server_name mobile.yinzhengjie.org.cn;

    ssl_certificate /yinzhengjie/softwares/nginx/certs/mobile.yinzhengjie.org.cn.crt;

    ssl_certificate_key /yinzhengjie/softwares/nginx/certs/mobile.yinzhengjie.org.cn.key;

    ssl_session_cache shared:sslcache:20m;

    ssl_session_timeout 10m;   

    location / {

       root /yinzhengjie/data/web/nginx/mobile;

       index index.html;

    }

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 




3>.创建mobile网站的测试数据




[root@node101.yinzhengjie.org.cn ~]# mkdir -pv /yinzhengjie/data/web/nginx/mobile

mkdir: created directory ‘/yinzhengjie/data/web/nginx/mobile’

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# vim /yinzhengjie/data/web/nginx/mobile/index.html

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/data/web/nginx/mobile/index.html

<!doctype html>

<html lang="en">

<head>

    <meta charset="UTF-8" />

    <title>尹正杰的网页</title>

    <style type="text/css">

        h1{

            background-color: red;

            margin: 0;

            float: right;

            color: yellow;

        }

    </style>

</head>

<body>

     <h1>我的博客地址:https://www.cnblogs.com/yinzhengjie</H1>

</body>

</html>

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 




4>.重新加载nginx的配置文件




[root@node101.yinzhengjie.org.cn ~]# ps -ef | grep nginx | grep -v grep

root      9901     1  0 09:28 ?        00:00:00 nginx: master process nginx

nginx     9902  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9903  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9904  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9905  9901  0 09:28 ?        00:00:00 nginx: worker process

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -s reload

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ps -ef | grep nginx | grep -v grep

root      9901     1  0 09:28 ?        00:00:00 nginx: master process nginx

nginx    24916  9901  4 10:41 ?        00:00:00 nginx: worker process

nginx    24917  9901  5 10:41 ?        00:00:00 nginx: worker process

nginx    24918  9901  5 10:41 ?        00:00:00 nginx: worker process

nginx    24919  9901  5 10:41 ?        00:00:00 nginx: worker process

[root@node101.yinzhengjie.org.cn ~]# 




5>.客户端浏览器分别访问"http://mobile.yinzhengjie.org.cn/"和"https://mobile.yinzhengjie.org.cn/"


												


											
Nginx 高级配置-实现多域名HTTPS的更多相关文章
	

    
								
  1. Nginx 高级配置-https 功能
		
    Nginx 高级配置-https 功能 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.HTTPS工作过程 1>.SSL/TLS SSL(Secure Socket Lay ...
    
		
    2. 
						
  2. Nginx 高级配置--关于favicon.ico
		
    Nginx 高级配置--关于favicon.ico 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.浏览器会默认帮咱们访问官网的图标 1>.浏览器访问网站"htt ...
    
		
    3. 
						
  3. Nginx 高级配置-压缩功能
		
    Nginx 高级配置-压缩功能 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.Nginx压缩相关参数概述 1>.gzip on | off; Nginx支持对指定类型的文 ...
    
		
    4. 
						
  4. Nginx 高级配置-自定义json格式日志
		
    Nginx 高级配置-自定义json格式日志 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 在大数据运维工作中,我们经常会使用flume,filebeat相关日志收集工具取收集日志 ...
    
		
    5. 
						
  5. Nginx 高级配置-变量使用
		
    Nginx 高级配置-变量使用 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任.  nginx的变量可以在配置文件中引用,作为功能判断或者日志等场景使用,变量可以分为内置变量和自定义变 ...
    
		
    6. 
						
  6. Nginx 高级配置-第三方模块编译
		
    Nginx 高级配置-第三方模块编译 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 第三模块是对nginx 的功能扩展,第三方模块需要在编译安装Nginx 的时候使用参数--add ...
    
		
    7. 
						
  7. Ubuntu Nginx下配置网站ssl实现https访问
		
    最近在看  HTTP权威指南   看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介 什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...
    
		
    8. 
						
  8. Nginx 高级配置-状态页配置
		
    Nginx 高级配置-状态页配置 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 建议将nginx的监控状态的值通过zabbix或者Open-Falcon之类的监控工具来监控状态,并 ...
    
		
    9. 
						
  9. Nginx高级配置,同1台机器部署多个tomcat、配置多个域名,每个域名指向某一个tomcat下的项目,共用Nginx80端口访问;
		
    需求说明: 只有一台服务器和一个公网IP,多个项目部署在这台机器上面,且每个项目使用一个单独的域名访问,域名访问时都通过Nginx的80端口访问.(如下图所示) 配置过程: 一.tomcat的serv ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. PKUSC2018题解
			
    PKUSC2018题解 真实排名 分别考虑第\(i\)个人翻倍和不翻倍的情况,组合数算一下即可,务必注意实现细节. 代码 最大前缀和 设\(sum_s\)表示集合\(\sum_{i\in s} a_i ...
    
			
    2. 
						
  2. DVWA XSS (Reflected) 通关教程
			
    XSS 介绍XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需 ...
    
			
    3. 
						
  3. cmd常见错误及解决方法
			
    [英文] Bad command or file name [译文] 错误的命令或文件名 错误原因和解决: 这大概是大家最常见到的错误提示了,它的意思是输入的命令无效.当输入的命令既不是DOS内部命令 ...
    
			
    4. 
						
  4. DataSet 反射转换成 List<T>
			
    /// <summary> /// DataSet转换成指定返回类型的实体集合 /// </summary> /// <typeparam name="T&qu ...
    
			
    5. 
						
  5. MySQL binlog三种模式
			
    1.1 Row Level  行模式 日志中会记录每一行数据被修改的形式,然后在slave端再对相同的数据进行修改 优点:在row level模式下,bin-log中可以不记录执行的sql语句的上下文 ...
    
			
    6. 
						
  6. 转 A 、B两张表,找出ID字段中,存在A表,但是不存在B表的数据
			
    A.B两张表,找出ID字段中,存在A表,但是不存在B表的数据,A表总共13W数据,去重后大约3万条数据,B表有2W条数据,且B表的ID有索引. 方法一 使用not in,容易理解,效率低. selec ...
    
			
    7. 
						
  7. 使用maven-resources-plugin插件分环境配置
			
    一.项目目录结构    二.pom文件中引入maven-resources-plugin插件和相关的标签 <build> <plugins> <plugin> &l ...
    
			
    8. 
						
  8. AtCoder Grand Contest 014
			
    AtCoder Grand Contest 014 A - Cookie Exchanges 有三个人,分别有\(A,B,C\)块饼干,每次每个人都会把自己的饼干分成相等的两份然后给其他两个人.当其中 ...
    
			
    9. 
						
  9. Mysql系列(十二)—— 索引下推优化
			
    索引条件下推(ICP)是对MySQL使用索引从表中检索行的情况的优化.如果没有ICP,存储引擎会遍历索引以查找基表中的行,并将它们返回给MySQL服务器,该服务器会评估WHERE行的条件.启用ICP后 ...
    
			
    10. 
						
  10. KVM虚拟机网络配置 Bridge方式,NAT方式
			
    https://blog.csdn.net/hzhsan/article/details/44098537/
    
			
    11.