Linux日志
PHP记事本
JS记事本
数据库
团队资讯

nginx配置https全过程(阿里云免费SSL证书)

分类:Linux日志 发布时间:2017-05-30 10:39:44 阅读:作者:郑祥景

一、到阿里云申请免费SSL证书

https://common-buy.aliyun.com/?commodityCode=cas#/buy

二、下载SSL证书

将下载的SSL证书放在便于管理的地方,后面配置需要从存放的目录调用。

三、配置nginx文件

配置443端口的配置文件:

server {
    listen 443;
    server_name .fj8.cc;
    ssl on;
    root /home/www/ssl_fj8;
    index index.html index.php;
    ssl_certificate   /home/www/ssl_fj8/214038521890308.pem; #证书
    ssl_certificate_key  /home/www/ssl_fj8/214038521890308.key; #证书
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
  location / {
        try_files $uri $uri/ /index.php?$args;
  }
  location ~ .*\.php$ {
    include fastcgi_params;
    fastcgi_index index.php;
    fastcgi_pass unix:/tmp/php-cgi.sock;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  }
  location /nginx_status {
    stub_status on;
    allow 127.0.0.1;
    deny all;
  }
  location /php_status {
    include fastcgi_params;
    fastcgi_pass unix:/tmp/php-cgi.sock;
    fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    allow 127.0.0.1;
    deny all;
  }
  location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
    expires      30d;
  }
  location ~ .*\.(js|css)?$ {
    expires      30d;
  }
}
配置80端口的配置文件:
server {
    listen 80;
    server_name www.fj8.cc;
    server_name fj8.cc;
    root /home/www/ssl_fj8;
    rewrite ^(.*)$  https://$host$1 permanent;
}

四、开启ubantu的443端口(centos点这里查看iptables端口设置):

# whereis iptables #查看系统是否安装防火墙可以看到:

iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz #表示已经安装iptables
apt-get install iptables #如果默认没有安装,请运行此命令安装防火墙

# iptables -L #查看防火墙配置信息,显示如下:

Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
vi /etc/iptables.rules
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT

# iptables-restore < /etc/iptables.rules #使防火墙规则生效

# vi /etc/network/if-pre-up.d/iptables #创建文件,添加以下内容,使防火墙开机启动

#!/bin/bashiptables-restore < /etc/iptables.rules

# chmod +x /etc/network/if-pre-up.d/iptables #添加执行权限

# iptables -L -n查看规则是否生效.

  

   编辑:郑祥景

[随享社区版权所有 未经许可不得转载 ]

返回首页


推荐
Linux日志
PHP记事本
JS记事本
数据库
团队资讯
在线客服随享宝宝
有任何问题,都可以戳我反馈哦!
微信公众号 方便 快速
扫描二维码 关注公众号

版权所有:天妖云/随享社区V5.2 beta Copyright 2015-2019 TIAYO.COM Inc. All rights reserved.