一、按openssl

1、下载

下载地址:https://www.openssl.org/source/old/1.0.2/

nginx 和openssl的版本兼容问题 nginx设置openssl路径_ci

 2、安装

# 解压
$ tar -zxvf openssl-1.1.1g.tar.gz
$ cd  openssl-1.1.1g
 
#  添加openssl配置
$ ./config --prefix=/usr/local/openssl
 
# 更新配置
$ ./config -t
 
$ make depend
$ make install
 
# 切换目录
$ cd /usr/local 
$ vi /etc/ld.so.conf
    # 在/etc/ld.so.conf文件的最后面,添加如下内容: 
    /usr/local/openssl/lib
 
# 执行:
$ ldconfig
 
# 添加OPESSL的环境变量
$ vi /etc/profile
    #看清楚你的openssl/bin在哪里
    export OPENSSL=/usr/local/openssl/bin
    export PATH=$OPENSSL:$PATH:$HOME/bin
    
# 刷新profile 生效
$ source /etc/profile
 
# 安装完毕,检查一下
$ ldd /usr/local/openssl/bin/openssl

 3、yum安装openssl相关软件

[root@test nginx]¥ yum -y install openssl*

4、检测openssl是否安装

nginx 和openssl的版本兼容问题 nginx设置openssl路径_ci_02

 

 

 二、使用openssl创建https的ssl证书

链接:https://pan.baidu.com/s/1tj62l5wN4Id3TYJpgCQP_A
提取码:ta54

1、创建秘钥

[root@edge-02 srs]#openssl genrsa -des3 -out server.key 2048
注意:生成私钥,需要提供一个至少4位,最多1023位的密码。

2、生成CSR(证书签名请求)

[root@edge-02 srs]# openssl req -new -key server.key -out server.csr

说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。

可以将证书发送给证书颁发机构(CA),CA验证过请求者的身份之后,会出具签名证书,需要花钱。另外,如果只是内部或者测试需求,也可以使用OpenSSL实现自签名。

3、删除秘钥中的密码

[root@edge-02 srs]#openssl rsa -in server.key -out server.key

说明:如果不删除密码,在应用加载的时候会出现输入密码进行验证的情况,不方便自动化部署。

4、生成自签名证书

内部或者测试使用,只要忽略证书提醒就可以了。

[root@edge-02 srs]# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

nginx 和openssl的版本兼容问题 nginx设置openssl路径_nginx_03

5、生成pem格式的公钥

有些服务,需要有pem格式的证书才能正常加载,可以用下面的命令:

[root@edge-02 srs]# openssl x509 -in server.crt -out server.pem -outform PEM# 最终生成证书的文件

nginx 和openssl的版本兼容问题 nginx设置openssl路径_ci_04

三、nginx配置ssl证书

1、将证书文件放到指定目录中

mkdir /etc/nginx/ssl/
cp /server.key /etc/nginx/ssl/
cp /server.pem /etc/nginx/ssl/
cp /server.crt /etc/nginx/ssl/

2、配置nginx

vi  /etc/nginx/conf.d/admin-ui.conf
server {
    listen 80; #侦听80端口
    listen 443 ssl; #侦听443端口,用于SSL
    server_name dpi.com;  # 自己的域名
    # 注意证书文件位置,是从/etc/nginx/下开始算起的
    ssl_certificate /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    #CDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;

    client_max_body_size 1024m;

    location / {
        proxy_set_header HOST $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 这里写的是我的腾讯云内网地址
        proxy_pass http://xx.xx.xx.xx:8080;
    }
}

server {
    listen 80; #侦听80端口
    listen 443 ssl; #侦听443端口,用于SSL
    server_name dpi.test.com;  # 自己的域名
    # 注意证书文件位置,是从/etc/nginx/下开始算起的    #ssl_certificate /etc/nginx/ssl/server.pem;
    ssl_certificate /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;

    client_max_body_size 1024m;  if($scheme = http){      return 301 https://$host$request_uri;   }

    location / {
        proxy_set_header HOST $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://xx.xx.xx.xx:8181;
    }

   location ~ /(code|manage|edge){
            #root   html;
            #index  index.html index.htm;
        # OPTIONS预检命令,预检命令通过时才发送请求
         # 检查请求的类型是不是预检命令
         if ($request_method = 'OPTIONS'){
        # 指定允许跨域的方法,*代表所有
                add_header 'Access-Control-Allow-Methods' 'GET,POST,PUT,DELETE,OPTIONS';
                # 预检命令的缓存,如果不缓存每次会发送两次请求
                add_header 'Access-Control-Max-Age' 360000;
                # 带cookie请求需要加上这个字段,并设置为true
                add_header 'Access-Control-Allow-Credentials' 'true';
                # 表示允许这个域跨域调用(客户端发送请求的域名和端口)
                # $http_origin动态获取请求客户端请求的域 不用*的原因是带cookie的请求不支持*号
                add_header 'Access-Control-Allow-Origin' $http_origin;
                # 表示请求头的字段 动态获取
                add_header 'Access-Control-Allow-Headers' $http_access_control_request_headers;
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain; charset=utf-8';
        add_header 'Content-Length' 0;
        return 204;
         }
}

  #配置多个域名,如dpi.test.com和dpi.com
  #同时监听80和443端口,当使用http访问自动跳转到https,根据if($schema ==http)完成 
  #ssl_certificate配置证书路径 
  #ssl_certificate_key 配置key路径

3、重启nginx

nginx -s reload

4、访问效果

nginx 和openssl的版本兼容问题 nginx设置openssl路径_nginx_05