阿里云ecs配置nginx+域名+ssl证书的全过程
一、远程下载nginx并安装:
- 进入你需要下载并存放nginx安装包的目录并用远程命令下载:
wget https://nginx.org/download/nginx-1.5.9.tar.gz
- 下载完成后,执行解压命令解压
tar -zxvf nginx-1.5.9.tar.gz
- 进入解压后的nginx-1.5.9文件夹,执行以下三个命令进行安装:
- 1、配置./configure
# 不建议
./configure
注意该命令是对nginx进行配置的命令 后面可以带响应的安装目录配置还可以带ssl的配置,后续可以用到,博主一开始没注意导致两次不必要的配置;
# 建议
./configure --prefix=/usr/local/nginx --with-http_stub_status_modul
执行到这一步博主还遇到一个问题就是报错如下:
错误为:./configure: error: the HTTP rewrite module requires the PCRE library
安装pcre-devel解决问题
yum -y install pcre-devel
还有可能出现:
错误提示:
./configure: error: the HTTP cache module requires md5 functions
from OpenSSL library. You can either disable the module by using
--without-http-cache option, or install the OpenSSL library into the system,
or build the OpenSSL library statically from the source with nginx by using
--with-http_ssl_module --with-openssl= options.
解决办法:
yum -y install openssl openssl-devel
- 2、编译(编译的过程是把各种语言写的源码文件,变成可执行文件和各种库文件)
make
- 3、安装(make install是把这些编译出来的可执行文件和库文件复制到合适的地方)
make install
二、nginx配置域名:
- 阿里云购买域名并备案成功之后,去阿里云域名管理控制台进行DNS云解析配置,加一下域名对阿里云ecs的解析
记录值对应ecs的ip地址;然后这样子域名就能解析到自己的服务器ip了;
- 接下来在ecs管理控制台开启对默认端口80端口的监听,增加一条规则如下:
配置到这里其实已经可以通过域名对后端服务进行请求了,但是博主此前没有用nginx所以只能监听80端口,如果服务启动用了其他端口将无法监听,所以博主配置了一个nginx进行请求转发,而且nginx可以做后续的ssl的配置更简单; - 一开始博主只配置了http的访问请求,没有进行https的配置,具体配置如下:
upstream aiyunyou{
server 127.0.0.1:8089;
}
server{
listen 80;
server_name www.***.com;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-Nginx-Proxy true;
proxy_pass http://aiyunyou;
proxy_redirect off;
}
配置完成后进行 ./nginx -s reload 重启
此时的配置是将域名监听80端口,然后对本机ip的8089端口进行转发了,配置到这里就可以直接用www.***.com进行访问了,不需要域名+端口号了;
三、nginx配置ssl证书,开启https访问
- 在配置完域名访问之后,此时只能通过http进行域名访问,所以博主就申请了阿里云一年免费ssl证书,准备配置https安全访问;
- 在阿里云ssl控制平台下载nginx办本的ssl证书
- 将证书pem文件和key文件上传到阿里云ecs上
新建一个cert文件夹:
cd /usr/local/nginx/conf
mkdir cert
cd cert
rz
- 配置nginx解析ssl证书:
# 以下属性中以ssl开头的属性代表与证书配置有关,其他属性请根据自己的需要进行配置。
server {
listen 443 ssl; #SSL协议访问端口号为443。此处如未添加ssl,可能会造成Nginx无法启动。
server_name localhost; #将localhost修改为您证书绑定的域名,例如:www.example.com。
root html;
index index.html index.htm;
ssl_certificate cert/domain name.pem; #将domain name.pem替换成您证书的文件名。
ssl_certificate_key cert/domain name.key; #将domain name.key替换成您证书的密钥文件名。
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #使用此加密套件。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #使用该协议进行配置。
ssl_prefer_server_ciphers on;
location / {
root html; #站点目录。
index index.html index.htm;
}
}
重启nginx配置 ./nginx -s reload
配置到这里博主用https访问是失败了,后来发现是ecs忘记开放443端口了,ecs配置一条443端口的开放规则;
- 配置完443端口之后博主成功通过https访问了服务,但是此时发现http无法访问成功,所以这里有两个方案,第一 即同意http有同意https访问,第二 统一转发到https访问,博主这里采用了第二种方案;
完整配置如下:
upstream aiyunyou{
server 127.0.0.1:8089;
}
server {
listen 80;
server_name www.****.com;
rewrite ^(.*) https://$server_name$1 permanent;
}
server {
listen 443 ssl;
server_name www.***.com;
ssl_certificate ./cert/***.pem;
ssl_certificate_key ./cert/**.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-Nginx-Proxy true;
proxy_pass http://aiyunyou;
proxy_redirect off;
}
}
至此,ecs的域名http和https全部配置完成,访问之后成功跳转并成功访问;
