[python][nginx][https] Nginx 服务器 SSL 证书安装部署

前言

博主博客中的图片,使用的是自己搭建的图床(在腾讯云+python+自己的域名),由于之前采用的是 http,会被浏览器当成不安全链接,把图片给屏蔽。因此,博主着手将其无缝替换为 https,本文是操作细节。

1 申请证书

在腾讯云平台,提供1年免费证书:

[En]

On Tencent Cloud platform, a 1-year free certificate is provided:

https://console.cloud.tencent.com/ssl

[python][nginx][https] Nginx 服务器 SSL 证书安装部署

以上是我申请的两个证书。

[En]

Above are the two certificates I applied for.

注: 因为是一年免费的证书,每个二级域名都要单独申请一个,我第一次只申请一个一级域名,发现不行!!!

[python][nginx][https] Nginx 服务器 SSL 证书安装部署

2 Nginx 服务器 SSL 证书安装部署

我们上面申请的是国际加密标准的 SSL 证书,并且准备部署在 Nginx 服务器上,因此参考:https://cloud.tencent.com/document/product/400/35244

2.1、准备 Nginx 环境

博主服务器环境是ubuntu,默认的nginx版本太低,需要手动编译安装:

[En]

The blogger server environment is ubuntu, and its default nginx version is too low, so you need to compile and install it manually:

1)完全卸载原来 nginx: sudo apt-get auto-remove nginx
2)下载,编译,安装:

wget http://nginx.org/download/nginx-1.18.0.tar.gz
wget http://downloads.sourceforge.net/project/pcre/pcre/8.35/pcre-8.35.tar.gz

# 安装 zlib, openssl (编译工具,如果没有也要安装)
sudo apt-get install zlib1g-dev
sudo apt-get install openssl
sudo apt-get install libssl-dev

# 安装PCRE
tar zxvf pcre-8.35.tar.gz
cd pcre-8.35
sudo ./configure
sudo make
sudo make install

# 安装nginx
tar zxvf nginx-1.18.0.tar.gz
cd nginx-1.18.0.tar.gz
sudo ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
sudo make
sudo make install

注意:

  • 旧的Nginx需要完全删除
    [En]

    the old Nginx needs to be deleted completely*

  • nginx 编译选项一定要带 --with-http_ssl_module ,否则无法使用 ssl (运行 ./sbin/nginx -t 时会报错)
  • ./configure: error: SSL modules require the OpenSSL library. 需要安装 libssl-dev (ubuntu 编译nginx时出错解决办法)

3)生成 nginx 软链接

安装之后,在 /usr/bin 中建立一个 nginx软链接:

ln -s /usr/local/nginx/sbin/nginx nginx

2.2 证书部署

参考:https://cloud.tencent.com/document/product/400/35244

1)在 SSL 证书管理控制台 中选择您需要安装的证书并单击下载
2)通过 scp 等方法,将下载的压缩包送到远程服务器,解压后:

➜  tuchuang.beautifulzzzz.com_nginx tree
.
├── tuchuang.beautifulzzzz.com_bundle.crt 证书文件
├── tuchuang.beautifulzzzz.com_bundle.pem 证书文件(可忽略该文件)
├── tuchuang.beautifulzzzz.com.csr CSR 文件
└── tuchuang.beautifulzzzz.com.key 私钥文件

3)将 crt 和 key 文件复制到 nginx config 目录下:

cd /usr/local/nginx/conf
mv ~/Download/tuchuang.beautifulzzzz.com_nginx/tuchuang.beautifulzzzz.com.key  ./
mv ~/Download/tuchuang.beautifulzzzz.com_nginx/tuchuang.beautifulzzzz.com_bundle.crt  ./

2.3 Nginx 配置

此操作可通过执行 vim /usr/local/nginx/conf/nginx.conf 命令行编辑该文件:

server {
    #SSL 访问端口号为 3000
    listen 3000 ssl;
    #填写绑定证书的域名
    server_name tuchuang.beautifulzzzz.com;
    #证书文件名称
    ssl_certificate tuchuang.beautifulzzzz.com_bundle.crt;
    #私钥文件名称
    ssl_certificate_key tuchuang.beautifulzzzz.com.key;
    ssl_session_timeout 5m;
    #请按照以下协议配置
    ssl_protocols TLSv1.2 TLSv1.3;
    #请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;

    # nginx 端口重映射,可以这样写
    # 当访问: https://tuchuang.beautifulzzzz.com:3000 时,会映射到 http://127.0.0.1:8000
    location / {
        proxy_pass  http://127.0.0.1:8000;
    }

    #location / {    <-- 如果你不需要借助 nginx 端口重映射,可以这样写 # #网站主页路径。此路径仅供参考,具体请您按照实际目录操作。 #例如,您的网站运行目录在 etc www下,则填写 www。 root html; index index.html index.htm; #} } < code></-->

因为,我之前图床图片链接都是 http,我不想改变原来的链接,可以通过 nginx 重映射实现:

server {
    listen 3000;
    #&#x586B;&#x5199;&#x7ED1;&#x5B9A;&#x8BC1;&#x4E66;&#x7684;&#x57DF;&#x540D;
    server_name tuchuang.beautifulzzzz.com;

    rewrite ^(.*)$  https://$host$1 permanent;
    #&#x628A;http&#x7684;&#x57DF;&#x540D;&#x8BF7;&#x6C42;&#x8F6C;&#x6210;https
    #return 301 https://$host$request_uri;
}

这样,每次浏览器访问 http://tuchuang.beautifulzzzz.com:3000,会被自动转到 https://tuchuang.beautifulzzzz.com:3000,然后在借助上面配置,可以最终转到 http://127.0.0.1:8000

最后,可以在 Nginx 根目录下,通过执行以下命令验证配置文件是否有问题:

./sbin/nginx -t

当没有问题时,运行以下命令重新启动nginx(如果上报nginx.id错误,请参阅链接8):

[En]

When there is no problem, run the following command to restart nginx (if an nginx.pid error is reported, refer to link 8):

nginx -s reload

注意: 好像 markdown 和 curl 等不能自动将 http 转换为 https。

3 最后

在发布这篇博文时,如果你能在浏览器中看到没有警告的图片,那就意味着我们之前的操作成功了!

[En]

When posting this blog post, if you can see the picture without warning in the browser, it means that our previous operation was successful!

事实上,还有一些工作要做–更新上传图片的脚本:

[En]

In fact, there is a little work to be done– to update the script for uploading pictures:

&#x279C;  Pictures cat run.sh
#!/bin/bash

ret=curl https://tuchuang.beautifulzzzz.com:3000/api/v1/upimg -F "file=@$1" -H "token:密码" -v

cnt=1
if [ ! -f "tuchuang.log" ]; then
    echo $cnt > tuchuang.log
else
    cnt=cat tuchuang.log
    cnt=$((cnt+1))
    echo $cnt > tuchuang.log
fi

echo ""
echo $ret | jq .

param=echo $ret | jq .data.path | sed 's:\"::g'
echo [p$cnt]:https://tuchuang.beautifulzzzz.com:3000/?path=$param

参考链接

[1]. 如何选择 SSL 证书安装部署类型?
[2]. Nginx 服务器 SSL 证书安装部署(RSA)

[4]. ssl证书是一个域名一个证书吗 ?
[5]. CentOS7上部署Nginx实现https和http重定向https
[6]. ubuntu18.04安装Nginx1.18.0 – 安装记录
[7]. nginx: [emerg] the “ssl” parameter requires ngx_http_ssl_module
[8]. 解决Nginx: [error] open() "/usr/local/Nginx/logs/Nginx.pid” failed(2:No such file or directory)
[9]. 让你的网站免费支持 HTTPS 及 Nginx 平滑升级
[10]. ubuntu 编译nginx时出错解决办法
[11]. 自建图床服务器

: 陆续更新中…

[python][nginx][https] Nginx 服务器 SSL 证书安装部署

Original: https://www.cnblogs.com/zjutlitao/p/15972056.html
Author: beautifulzzzz
Title: [python][nginx][https] Nginx 服务器 SSL 证书安装部署

原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/7305/

转载文章受原作者版权保护。转载请注明原作者出处!

(0)

大家都在看

免费咨询
免费咨询
扫码关注
扫码关注
联系站长

站长Johngo!

大数据和算法重度研究者!

持续产出大数据、算法、LeetCode干货,以及业界好资源!

2022012703491714

微信来撩,免费咨询:xiaozhu_tec

分享本页
返回顶部
最近整理资源【免费获取】:   👉 程序员最新必读书单  | 👏 互联网各方向面试题下载 | ✌️计算机核心资源汇总