首先看centos是否支持ssl
输入:openssl version
如无
则去 http://slproweb.com/products/Win32OpenSSL.html 寻找
生成私钥后面的1024可加密128字节长度的内容,2048可加密256字节长度的内容
对应的命令如下:
在ssl的根目录下操作: #此步用于生成私钥,会提示输入密码,密码后面步骤需要用到;jason.key为私钥的名字,文件名可自己定
openssl genrsa -des3 -out jason.key 1024 #此步用于生成csr证书,jason.key为上一步骤生成的私钥名,jason.csr为证书,证书文件名可自定
#在此步过程中,会交互式输入一系列的信息(所在国家、城市、组织等),其中Common Name一项代表nginx服务访问用到的域名,我这里是本地测试,所以可以随意定一个jason.com,并在本地host文件中将此域名映射为127.0.0.1
openssl req -new -key jason.key -out jason.csr #此步用于去除访问密码,如果不执行此步,在配置了ssl后,nginx启动会要求输入密码
#jason.key为需要密码的key,jason-np.key为去除访问密码的key文件
#操作过程中会要求输入密码,密码为生成key文件时的密码
openssl rsa -in jason.key -out jason-np.key #此步用于生成crt证书
#jason.crt为第2步生成的csr证书名称,jason.crt为要生成的证书名称
openssl x509 -req -days 366 -in jason.csr -signkey jason-np.key -out jason.crt
输入国家系列信息:
server {
listen 443 ssl;
server_name service.youhui168.xin; ssl on;
ssl_certificate ../ssl/shopService.crt;
ssl_certificate_key ../ssl/shopService-np.key; #ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m; #ssl_ciphers HIGH:!aNULL:!MD5;
#ssl_prefer_server_ciphers on; error_log /usr/local/nginx/logs/error2.log error;
location / {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://localhost:8080/service/;
}
}
注意阿里云里面要配置好对应的入方向的443的端口规则
http://localhost:8080/service/ 对应的是tomcat启动的那个service项目 如此,https访问成功 如还不成,应该是服务器的防火墙问题了:netstat -anp
查看防火墙开的端口
发现已经在监听了,那肯定是配置问题。
检查配置没问题,重新生成证书等方法也还是无法访问,甚至在别的机器上https的配置copy过来依然无法访问
冷静下来想想,nginx都没有返回状态吗,直接无法连接。这到底请求到了吗?
只能进入防火墙配置文件看看了 vim /etc/sysconfig/iptables
问题就在这里了,开放端口一定要在
-A INPUT -j REJECT –reject-with icmp-host-prohibited
这句的前面,的前面,的前面!!!
原因是这条规则的作用是拒绝所有-j REJECT 在iptables帮助文档里面有一下说明This is used to send back an error packet in response to the matched packet
就是表明拒绝你,并返回一个错误连接信息。请求没到nginx那,肯定没有状态码返回,同时你的浏览器返回的只能是无法连接。
===============================================================
另一个test例子
证书同上配置
nginx的配置是:
server {
listen 443 ssl;
server_name test.youhui168.xin;
ssl_certificate ../ssl/test.crt;
ssl_certificate_key ../ssl/test-np.key;
#ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://localhost:80/;
}
} server {
listen 80;
server_name test.youhui168.xin;
root /home/wwwroot/test;
index index.php; location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PHP_VALUE open_basedir=$document_root:/tmp/:/proc/;
include fastcgi_params;
} }
如此,https访问成功