Nginx实现多域名证书HTTPS-阿里云开发者社区

Nginx实现多域名证书HTTPS

2017-11-12 1976

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

目前公司有2个域名，其中这次涉及到3个子域名需要更改为HTTPS传输，分别为:

passport.abc.com

www.test.com

admin.test.com

那么就涉及到购买ssl证书的问题，由于价格问题使用3个不同的证书(每个域名一个)。

由于实验环境，我们就手动生成3个ssl证书

 
        [root@gz122haproxy95 ～]
        # mkdir ~/keys 
       
        [root@gz122haproxy95 keys]
        # cd ~/keys 
       
        [root@gz122haproxy95 keys]
        # openssl genrsa -out passport.abc.com.key 2048 
       
        [root@gz122haproxy95 keys]
        # openssl req -new -key passport.abc.com.key -out passport.abc.com.csr 
       
        You are about to be asked to enter information that will be incorporated
       
        into your certificate request.
       
        What you are about to enter is what is called a Distinguished Name or a DN.
       
        There are quite a few fields but you can leave some blank
       
        For some fields there will be a default value,
       
        If you enter 
        '.'
        , the field will be left blank. 
       
        -----
       
        Country Name (2 letter code) [GB]:CN   
        #国家 
       
        State or Province Name (full name) [Berkshire]:GuangDong  
        #省份 
       
        Locality Name (eg, city) [Newbury]:ShenZhen   
        #城市 
       
        Organization Name (eg, company) [My Company Ltd]:Test.Inc    
        #公司名称 
       
        Organizational Unit Name (eg, section) []:passport.abc.com    
        #组织名称 
       
        Common Name (eg, your name or your server's 
        hostname
        ) []:passport.abc.com   
        #域名 
       
        Email Address []:passport@abc.com
       
        Please enter the following 
        'extra' 
        attributes 
       
        to be sent with your certificate request
       
        A challenge password []:
       
        An optional company name []:
       
        [root@gz122haproxy95 keys]
        # openssl x509 -req -days 3650 -in passport.abc.com.csr -signkey passport.abc.com.key -out passport.abc.com.crt

按照以上方法，把名称替换掉再制作2份,最后的结果就是

 
        [root@gz122haproxy95 keys]
        # ls -l 
       
        total 36
       
        -rw-r--r-- 1 root root 1354 Dec  4 16:54 admin.
        test
        .com.crt 
       
        -rw-r--r-- 1 root root 1050 Dec  4 16:54 admin.
        test
        .com.csr 
       
        -rw-r--r-- 1 root root 1675 Dec  4 16:52 admin.
        test
        .com.key 
       
        -rw-r--r-- 1 root root 1354 Dec  4 16:48 passport.abc.com.crt
       
        -rw-r--r-- 1 root root 1078 Dec  4 16:44 passport.abc.com.csr
       
        -rw-r--r-- 1 root root 1675 Dec  4 16:41 passport.abc.com.key
       
        -rw-r--r-- 1 root root 1354 Dec  4 16:52 www.
        test
        .com.crt 
       
        -rw-r--r-- 1 root root 1062 Dec  4 16:52 www.
        test
        .com.csr 
       
        -rw-r--r-- 1 root root 1679 Dec  4 16:51 www.
        test
        .com.key

现在就是Nginx和OpenSSL的安装与配置(这里注意，一般情况下一个IP只支持一个SSL证书，那么我们现在要在一个IP上实现多个SSL证书，就必须让Nginx支持TLS SNI，由于默认的OpenSSL是没有打开TLS SNI的)

 
        [root@gz122haproxy95 ~]
        # wget  
       
        [root@gz122haproxy95 ~]
        # tar zxf openssl-0.9.8zh.tar.gz   
       
        [root@gz122haproxy95 ~]
        # wget http://nginx.org/download/nginx-1.8.0.tar.gz 
       
        [root@gz122haproxy95 ~]
        # tar zxf nginx-1.8.0.tar.gz  
       
        [root@gz122haproxy95 ~]
        # cd nginx-1.8.0 
       
        [root@gz122haproxy95 nginx-1.8.0]
        # ./configure --prefix=/usr/local/nginx1.8.0 --user=www --group=www --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module --with-openssl=../openssl-0.9.8zh  
       
        [root@gz122haproxy95 nginx-1.8.0]
        # make && make install 
       
        #上面只需要解压openssl即可，然后在nginx的配置参数中添加--with-openssl=DIR指定路径即可,另外由于openssl需要编译，所以时间会较长。

在编译安装nginx的时候可能会出现pcre库没找到或zlib没找到，在CentOS下可以使用

 
        yum -y 
        install 
        pcre-devel zlib-devel

在安装编译好Nginx后，执行

 
        [root@gz122haproxy95 nginx-1.8.0]
        # /usr/local/nginx1.8.0/sbin/nginx -V 
       
        nginx version: nginx
        /1
        .8.0 
       
        built by gcc 4.1.2 20080704 (Red Hat 4.1.2-55)
       
        built with OpenSSL 0.9.8zh 3 Dec 2015
       
        TLS SNI support enabled      
        #可以看到TLS SNI support打开了 
       
        configure arguments: --prefix=
        /usr/local/nginx1
        .8.0 --user=www --group=www --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module --with-openssl=..
        /openssl-0
        .9.8zh

然后配置nginx

 
        upstream passport.abc.com {
       
        server 192.168.20.87:80; 
       
        server 192.168.20.88:80; 
       
        }
       
        # HTTPS server 
       
        # 
       
        server { 
       
        listen       443 ssl; 
       
        server_name  passport.abc.com; 
       
        ssl_certificate      
        /root/keys/passport
        .abc.com.crt; 
       
        ssl_certificate_key  
        /root/keys/passport
        .abc.com.key; 
       
        ssl_session_cache    shared:SSL:1m; 
       
        ssl_session_timeout  5m; 
       
        ssl_ciphers  HIGH:!aNULL:!MD5; 
       
        ssl_prefer_server_ciphers  on; 
       
        location / { 
       
        proxy_pass http:
        //passport
        .abc.com; 
       
        } 
       
        } 
       
        upstream www.
        test
        .com { 
       
        server 192.168.20.98:80; 
       
        server 192.168.20.99:80; 
       
        }
       
        # HTTPS server 
       
        # 
       
        server { 
       
        listen       443 ssl; 
       
        server_name  www.
        test
        .com; 
       
        ssl_certificate      
        /root/keys/www
        .
        test
        .com.crt; 
       
        ssl_certificate_key  
        /root/keys/www
        .
        test
        .com.key; 
       
        ssl_session_cache    shared:SSL:1m; 
       
        ssl_session_timeout  5m; 
       
        ssl_ciphers  HIGH:!aNULL:!MD5; 
       
        ssl_prefer_server_ciphers  on; 
       
        location / { 
       
        proxy_pass http:
        //www
        .
        test
        .com; 
       
        } 
       
        }

通过以上即可实现nginx的HTTPS的多域名反向代理

本文转自 rong341233 51CTO博客，原文链接:http://blog.51cto.com/fengwan/1719708

Nginx实现多域名证书HTTPS

热门文章

最新文章

相关课程

相关电子书

相关实验场景

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

训练营

直播

乘风者计划

下载

镜像站

技术资料

Nginx实现多域名证书HTTPS

热门文章

最新文章

相关课程

相关电子书

相关实验场景