小伙伴们好,欢迎关注,一起学习,无限进步
项目开发完成后,将项目部署到服务器上时,为了保证安全性和加密通信,我们通常会配置 Nginx
作为反向代理服务器,并使用域名证书启用 HTTPS
。下面将为你指导 Nginx
如何配置域名和证书。
文章目录
- 环境准备
- Nginx 部署步骤
- 证书申请
- 上传证书
- 配置 ssl 及证书
- Nginx 完整配置
- Nginx 常用命令
环境准备
域名准备,提前准备好域名或重新申请一个新的域名,域名解析到你部署项目的服务器。下载好 Nginx
对应的证书,这里我用的阿里云,一个域名可以申请 20 个免费的证书(推荐)。
Nginx 部署步骤
可参考这篇文章:nginx 在 Linux 系统下安装部署的两种方式详细说明
前后端项目部署可参考这篇文章:非常详细的前端后端分离项目部署步骤
证书申请
阿里云证书申请:地址
免费证书 -> 创建证书 -> 输入证书需要解析的域名,解析完成,下载对应的项目部署代理对应的 nginx
或 tomcat
证书
上传证书
在安装 Nginx
的目录下创建一个 ssl
的文件夹,证书一开始下载后是一个 zpi
的压缩包,上传解压修改证书配置对应的目录即可。
有些服务器没有 zip
和 unzip
的以来和命令,执行以下一行命令
yum install -y zip unzip
配置 ssl 及证书
ssl 配置说明,修改 linsten
对应的端口和 server_name
对应的域名,修改证书对应的 xxx.pem
和 xxx.key
# 修改监听的端口,注意不要忘了加 ssl
listen 443 default ssl;
# 域名可以有多个,用逗号隔开
server_name xxxxx.com;
# 配置域名证书
ssl_certificate /data/nginx/ssl/sjy.pem;
ssl_certificate_key /data/nginx/ssl/sjy.key;
# 用于缓存 SSL 会话参数的共享内存区的大小,使用大小单位(例如 10m 表示 10 兆字节)
ssl_session_cache shared:SSL:1m;
# SSL 会话的过期时间 默认5分钟
ssl_session_timeout 5m;
# SSL/TLS 协议版本,可以指定多个,以空格分开
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv2 SSLv3;
# 指定是否优先使用服务器端加密算法顺序。设置为 on,表示使用服务器端优先的加密算法顺序。默认情况下,该选项为 off
ssl_prefer_server_ciphers on;
# 加密算法的优先顺序
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
修改完成,重启 nginx
,然后通过浏览器访问域名:xxxx.com
即可
Nginx 完整配置
可直接使用,修改对应的文件目录即可
user root;
worker_processes auto;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
# 开启gzip压缩
gzip on;
# 不压缩临界值,大于1K的才压缩,一般不用改
gzip_min_length 1k;
# 压缩缓冲区
gzip_buffers 16 64K;
# 压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
gzip_http_version 1.1;
# 压缩级别,1-10,数字越大压缩的越好,时间也越长
gzip_comp_level 5;
# 进行压缩的文件类型
gzip_types text/plain application/x-javascript text/css application/xml application/javascript;
# 跟Squid等缓存服务有关,on的话会在Header里增加"Vary: Accept-Encoding"
gzip_vary on;
# IE6对Gzip不怎么友好,不给它Gzip了
gzip_disable "MSIE [1-6]\.";
# 配置 80 端口
server {
listen 80;
# 域名可以有多个,用逗号隔开,把 xxxx 替换成对应域名即可,不许加 http www
server_name xxxxx.com;
# HTTP 自动跳转 HTTPS
rewrite ^(.*) https://$server_name$1 permanent;
charset utf-8;
location / {
root /data/pro/front/ruoyi-ui;
try_files $uri $uri/ /index.html;
index index.html index.htm;
}
location /prod-api/ {
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header REMOTE-HOST $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://localhost:8080/;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
# 配置 443 端口
server {
listen 443 default ssl;
# 域名可以有多个,用逗号隔开,把 xxxx 替换成对应域名即可,不许加 http www
server_name xxxxx.com;
charset utf-8;
# 配置域名证书
ssl_certificate /data/nginx/ssl/sjy.pem;
ssl_certificate_key /data/nginx/ssl/sjy.key;
# 用于缓存 SSL 会话参数的共享内存区的大小,使用大小单位(例如 10m 表示 10 兆字节)
ssl_session_cache shared:SSL:1m;
# SSL 会话的过期时间 默认5分钟
ssl_session_timeout 5m;
# SSL/TLS 协议版本,可以指定多个,以空格分开
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv2 SSLv3;
# 指定是否优先使用服务器端加密算法顺序。设置为 on,表示使用服务器端优先的加密算法顺序。默认情况下,该选项为 off
ssl_prefer_server_ciphers on;
# 加密算法的优先顺序
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
location / {
root /data/pro/front/ruoyi-ui;
try_files $uri $uri/ /index.html;
index index.html index.htm;
}
location /prod-api/ {
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header REMOTE-HOST $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://localhost:8080/;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
}
替换配置后,重新加载一个 nginx.conf
的配置文件,浏览器能正常访问则说明配置成功
Nginx 常用命令
# 首先进入 nginx 可执行文件目录,我这是是安装到 /data/nginx/sbin 目录下
cd /data/nginx/sbin
./nginx # 启动
./nginx -s stop # 停止(暴力停止服务)
./nginx -s quit # 安全退出(优雅停止服务)
./nginx -s reload # 重新加载配置文件
./nginx -h # 帮助命令
./nginx -t # 检查配置文件
/data/nginx/conf/nginx.conf # nginx配置文件路径
ps aux|grep nginx # 查看nginx进程