Nginx高级配置-实现多域名HTTPS

                                       作者:尹正杰

版权声明:原创作品,谢绝转载!否则将追究法律责任。

一.Nginx支持基于单个IP实现多域名的功能

  Nginx支持基于单个IP实现多域名的功能,并且还支持单IP多域名的基础之上实现HTTPS,这一点Apache Httpd是不支持的,其实是基于Nginx的SNI(Server Name Indication)功能实现,SNI是为了解决一个Nginx服务器内使用一个IP绑定多个域名和证书的功能,其具体功能是客户端在连接到服务器建立SSL链接之前先发送要访问站点的域名(Hostname),这样服务器再根据这个域名返回给客户端一个合适的证书。

  其实配置基于单个IP实现多域名的HTTPS方式也就是重复单个网站的https配置相应步骤。我的实验环境是在基于Nginx配置单个网站的https(博客链接:https://www.cnblogs.com/yinzhengjie/p/12052401.html),也就是上一次试验基础之上继续后续的步骤。




二.生成自签名证书


1>.生成"mobile.yinzhengjie.org.cn"网站使用的密钥对




[root@node101.yinzhengjie.org.cn ~]# cd /yinzhengjie/softwares/nginx/certs/

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 24

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout mobile.yinzhengjie.org.cn.key -out mobile.yinzheng

jie.org.cn.csrGenerating a 4096 bit RSA private key

.......................................................................................................................++

................................................................++

writing new private key to 'mobile.yinzhengjie.org.cn.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:beijing

Locality Name (eg, city) [Default City]:beijing

Organization Name (eg, company) [Default Company Ltd]:yinzhengjie

Organizational Unit Name (eg, section) []:devops

Common Name (eg, your name or your server's hostname) []:mobile.yinzhengjie.org.cn        #这里写网站的主机名称

Email Address []:y1053419035@qq.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:                                           #这里不要写密码

An optional company name []:

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 32

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr               #是一个公钥,即证书请求文件

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key               #私钥

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# 




2>.签发证书




[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 32

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 09:01 ca.srl

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# openssl x509 -req -days 3650 -in mobile.yinzhengjie.org.cn.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out mobile.yinzhengjie.org.cn.crt
Signature ok

subject=/C=CN/ST=beijing/L=beijing/O=yinzhengjie/OU=devops/CN=mobile.yinzhengjie.org.cn/emailAddress=y1053419035@qq.com

Getting CA Private Key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# ll

total 36

-rw-r--r-- 1 root root 2171 Dec 22 08:40 ca.crt

-rw-r--r-- 1 root root 3272 Dec 22 08:40 ca.key

-rw-r--r-- 1 root root   17 Dec 22 10:19 ca.srl

-rw-r--r-- 1 root root 2049 Dec 22 10:19 mobile.yinzhengjie.org.cn.crt            #已经被自己的CA服务器签发的证书文件

-rw-r--r-- 1 root root 1773 Dec 22 10:14 mobile.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 10:14 mobile.yinzhengjie.org.cn.key

-rw-r--r-- 1 root root 2049 Dec 22 09:01 www.yinzhengjie.org.cn.crt

-rw-r--r-- 1 root root 1769 Dec 22 08:52 www.yinzhengjie.org.cn.csr

-rw-r--r-- 1 root root 3272 Dec 22 08:52 www.yinzhengjie.org.cn.key

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]#

[root@node101.yinzhengjie.org.cn /yinzhengjie/softwares/nginx/certs]# 




三.Nginx证书配置


1>.查看主配置文件




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf/nginx.conf

worker_processes  4;

worker_cpu_affinity 00000001 00000010 00000100 00001000; 

events {

   worker_connections  100000;

   use epoll;

   accept_mutex on;

   multi_accept on;

}

   http {

     include       mime.types;

     default_type  text/html;

     charset utf-8;

     log_format my_access_json '{"@timestamp":"$time_iso8601",' '"host":"$server_addr",' '"clientip":"$remote_addr",' '"size":$body_bytes_sent,' '"responsetime":$request_ti

me,' '"upstreamtime":"$upstream_response_time",' '"upstreamhost":"$upstream_addr",' '"http_host":"$host",' '"uri":"$uri",' '"domain":"$host",' '"xff":"$http_x_forwarded_for",' '"referer":"$http_referer",' '"tcp_xff":"$proxy_protocol_addr",' '"http_user_agent":"$http_user_agent",' '"status":"$status"}';

    access_log logs/access_json.log my_access_json;

    ssl_certificate /yinzhengjie/softwares/nginx/certs/www.yinzhengjie.org.cn.crt;

    ssl_certificate_key /yinzhengjie/softwares/nginx/certs/www.yinzhengjie.org.cn.key;

    ssl_session_cache shared:sslcache:20m;

    ssl_session_timeout 10m;

    include /yinzhengjie/softwares/nginx/conf.d/*.conf;

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ll /yinzhengjie/softwares/nginx/conf.d/

total 8

-rw-r--r-- 1 root root 186 Dec 22 09:22 https.conf              #这个配置文件就是我们上一篇博客配置的内容

-rw-r--r-- 1 root root 438 Dec 22 10:25 mobile.conf              #这个配置是咱们新配置的域名

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 








[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/https.conf

server {

    listen 80;

    listen 443 ssl;

    server_name www.yinzhengjie.org.cn;

    location / {

       root /yinzhengjie/data/web/nginx/static;

       index index.html;

    }

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]# 




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/https.conf


2>.编辑mobile的配置文件支持https功能




[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/softwares/nginx/conf.d/mobile.conf

server {

    listen 80;

    listen 443 ssl;

    server_name mobile.yinzhengjie.org.cn;

    ssl_certificate /yinzhengjie/softwares/nginx/certs/mobile.yinzhengjie.org.cn.crt;

    ssl_certificate_key /yinzhengjie/softwares/nginx/certs/mobile.yinzhengjie.org.cn.key;

    ssl_session_cache shared:sslcache:20m;

    ssl_session_timeout 10m;   

    location / {

       root /yinzhengjie/data/web/nginx/mobile;

       index index.html;

    }

}

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -t

nginx: the configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /yinzhengjie/softwares/nginx/conf/nginx.conf test is successful

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 




3>.创建mobile网站的测试数据




[root@node101.yinzhengjie.org.cn ~]# mkdir -pv /yinzhengjie/data/web/nginx/mobile

mkdir: created directory ‘/yinzhengjie/data/web/nginx/mobile’

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# vim /yinzhengjie/data/web/nginx/mobile/index.html

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# cat /yinzhengjie/data/web/nginx/mobile/index.html

<!doctype html>

<html lang="en">

<head>

    <meta charset="UTF-8" />

    <title>尹正杰的网页</title>

    <style type="text/css">

        h1{

            background-color: red;

            margin: 0;

            float: right;

            color: yellow;

        }

    </style>

</head>

<body>

     <h1>我的博客地址:https://www.cnblogs.com/yinzhengjie</H1>

</body>

</html>

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# 




4>.重新加载nginx的配置文件




[root@node101.yinzhengjie.org.cn ~]# ps -ef | grep nginx | grep -v grep

root      9901     1  0 09:28 ?        00:00:00 nginx: master process nginx

nginx     9902  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9903  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9904  9901  0 09:28 ?        00:00:00 nginx: worker process

nginx     9905  9901  0 09:28 ?        00:00:00 nginx: worker process

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# nginx -s reload

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ps -ef | grep nginx | grep -v grep

root      9901     1  0 09:28 ?        00:00:00 nginx: master process nginx

nginx    24916  9901  4 10:41 ?        00:00:00 nginx: worker process

nginx    24917  9901  5 10:41 ?        00:00:00 nginx: worker process

nginx    24918  9901  5 10:41 ?        00:00:00 nginx: worker process

nginx    24919  9901  5 10:41 ?        00:00:00 nginx: worker process

[root@node101.yinzhengjie.org.cn ~]# 




5>.客户端浏览器分别访问"http://mobile.yinzhengjie.org.cn/"和"https://mobile.yinzhengjie.org.cn/"


												


											
Nginx 高级配置-实现多域名HTTPS的更多相关文章
	

    
								
  1. Nginx 高级配置-https 功能
		
    Nginx 高级配置-https 功能 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.HTTPS工作过程 1>.SSL/TLS SSL(Secure Socket Lay ...
    
		
    2. 
						
  2. Nginx 高级配置--关于favicon.ico
		
    Nginx 高级配置--关于favicon.ico 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.浏览器会默认帮咱们访问官网的图标 1>.浏览器访问网站"htt ...
    
		
    3. 
						
  3. Nginx 高级配置-压缩功能
		
    Nginx 高级配置-压缩功能 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.Nginx压缩相关参数概述 1>.gzip on | off; Nginx支持对指定类型的文 ...
    
		
    4. 
						
  4. Nginx 高级配置-自定义json格式日志
		
    Nginx 高级配置-自定义json格式日志 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 在大数据运维工作中,我们经常会使用flume,filebeat相关日志收集工具取收集日志 ...
    
		
    5. 
						
  5. Nginx 高级配置-变量使用
		
    Nginx 高级配置-变量使用 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任.  nginx的变量可以在配置文件中引用,作为功能判断或者日志等场景使用,变量可以分为内置变量和自定义变 ...
    
		
    6. 
						
  6. Nginx 高级配置-第三方模块编译
		
    Nginx 高级配置-第三方模块编译 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 第三模块是对nginx 的功能扩展,第三方模块需要在编译安装Nginx 的时候使用参数--add ...
    
		
    7. 
						
  7. Ubuntu Nginx下配置网站ssl实现https访问
		
    最近在看  HTTP权威指南   看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介 什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...
    
		
    8. 
						
  8. Nginx 高级配置-状态页配置
		
    Nginx 高级配置-状态页配置 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 建议将nginx的监控状态的值通过zabbix或者Open-Falcon之类的监控工具来监控状态,并 ...
    
		
    9. 
						
  9. Nginx高级配置,同1台机器部署多个tomcat、配置多个域名,每个域名指向某一个tomcat下的项目,共用Nginx80端口访问;
		
    需求说明: 只有一台服务器和一个公网IP,多个项目部署在这台机器上面,且每个项目使用一个单独的域名访问,域名访问时都通过Nginx的80端口访问.(如下图所示) 配置过程: 一.tomcat的serv ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Hello 2019 F 莫比乌斯反演 + bitset
			
    https://codeforces.com/contest/1097/problem/F 题意 有n个多重集,q次询问,4种询问 1. 将第x个多重集置为v 2. 将第y和z多重集进行并操作,并赋值 ...
    
			
    2. 
						
  2. ASP.NET开发实战——(一)开篇-用VS创建一个ASP.NET Web程序
			
        本文是本系列文章第一篇,主要通过建立一个默认ASP.NET MVC项目来引出与ASP.NET MVC相关的功能,由于ASP.NET MVC一个简单的模板就具备了数据库操作.身份验证.输入数据校 ...
    
			
    3. 
						
  3. 【LG4437】[HNOI/AHOI2018]排列
			
    [LG4437][HNOI/AHOI2018]排列 题面 洛谷 题解 题面里这个毒瘤的东西我们转化一下: 对于\(\forall k,j\),若\(p_k=a_{p_j}\),则\(k<j\). ...
    
			
    4. 
						
  4. [转载]3.11 UiPath存在文本Text Exists的介绍和使用
			
    一.Text Exists的介绍 检查是否在给定的UI元素中找到了文本,输出的是一个布尔值 二.Text Exists在UiPath中的使用 1.打开设计器,在设计库中新建一个Sequence,为序列 ...
    
			
    5. 
						
  5. cmd常见错误及解决方法
			
    [英文] Bad command or file name [译文] 错误的命令或文件名 错误原因和解决: 这大概是大家最常见到的错误提示了,它的意思是输入的命令无效.当输入的命令既不是DOS内部命令 ...
    
			
    6. 
						
  6. Qt 简易图片播放器
			
    一.前言 使用 Qt 制作了一个简单的图片播放器,点击 "浏览按钮" 浏览图片所在目录,目录中的所有图片缩小图标和名称会显示在左侧的图片列表中,点击列表中的图片项,可以在右侧区域的 ...
    
			
    7. 
						
  7. sizeof()计算结构体的大小
			
    简要说明:结构体成员按照定义时的顺序依次存储在连续的内存空间,但是结构体的大小并不是简单的把所有成员大小相加,而是遵循一定的规则,需要考虑到系统在存储结构体变量时的地址对齐问题. 一.没有成员的结构体 ...
    
			
    8. 
						
  8. Mysql  错误:Duplicate entry '0' for key 'PRIMARY'
			
    [1]添加数据报错:Duplicate entry '0' for key 'PRIMARY' (1)问题现象 SQL 语句如下: DROP TABLE test_distinct; CREATE T ...
    
			
    9. 
						
  9. java.lang.IllegalStateException: Received message from unsupported version: [5.2.2] minimal compatible version is: [5.6.0]
			
    启动elasticsearch-6.2.2-Windows服务时报错: java.lang.IllegalStateException: Received message from unsupport ...
    
			
    10. 
						
  10. Knative 基本功能深入剖析:Knative Eventing 之 Sequence 介绍
			
    作者 | 元毅,阿里云容器平台高级开发工程师,负责阿里云容器平台 Knative 相关工作. 导读:在实际的开发中我们经常会遇到将一条数据需要经过多次处理的场景,称为 Pipeline.那么在 Kna ...
    
			
    11.