顶级域名、二级域名配置 https 并通过 nginx 转发

本贴最后更新于 2112 天前,其中的信息可能已经东海扬尘

1.配置 https

最近闲来无事,想到了好久前就想试试的微信小程序。学着学着突然发现小程序是只支持 https 的域名,那么好吧,接下来就折腾一番吧。(域名服务在阿里云,服务器是腾讯云)

第一步:申请证书

十大免费 SSL 证书点击进入

我这里使用的证书是腾讯云 SSL(https://cloud.tencent.com/product/ssl),证书申请是非常简单的,按照要求填入申请即可,如下:

在域名身份验证的时候会要求你在要配置的域名解析里配置一个 TXT 记录。然后稍等一两分钟即可完成域名申请。

至此,证书申请就完了,然后可以在腾讯云的控制台里看到下载链接,点击下载按钮即可

第二步:下载资料并配置 nginx

下载过来是一个 zip 文件,解压后得到如下文件,由于我服务器使用的是 nginx,所以只要 scp Nginx 目录下 crt 和 key 到服务器即可

首先说下,我暂时用到的三个 Nginx 配置文件:

  • 443.conf (主要配置 https 相关)
  • api.conf (配置二级域名 api.code666.top 相关,后面讲到)
  • default.conf (配置 code666.top)

然后配置 default.conf,主要配置如下:

server {
    listen       80 default;
    server_name  @.code666.top,www.code666.top;

    location / {
        proxy_pass              http://127.0.0.1:8080;  # 本地程序代理
        proxy_redirect          off;
        proxy_set_header        Host $host;
        proxy_set_header        X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        #root   /usr/share/nginx/html;
        #index  index.html index.htm;
    }

   if ($server_port = 80 ) { # 如果是80端口则转到443
     return 301 https://code666.top$request_uri;
   }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

}

配置 443.conf,如下:

server {
   listen       443;
   server_name  code666.top;
   ssl  on;

   ssl_certificate      /data/ssl_nginx/1_code666.top_bundle.crt;  # crt文件目录
   ssl_certificate_key  /data/ssl_nginx/2_code666.top.key;        # key文件目录
   ssl_session_timeout  5m;
   # ssl_protocols和ssl_ciphers指令可以用来强制用户连接只能引入SSL/TLS那些强壮的协议版本和强大的加密算法。
   ssl_protocols        TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers               ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;    ssl_session_cache         shared:SSL:50m;
    ssl_prefer_server_ciphers on;

    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;
    }

}

至此,service nginx reload 后就可以在浏览器输入域名看到 https 效果啦,其实也是超简单的东西。

2.通过 nginx 转发二级域名并配置 htpps

现在有一个问题:我的顶级域名还是想用来做博客,做个二级域名来做小程序开发,那该怎么配置呢?并且服务器还是同一台。

我刚开始想的是重新解析一个 api.code666.top 不就好了嘛?一段时间的折腾后发现这种想法好像并不行...最后我用的是在 aliyun 解析出一个*.code666.top 的 A 记录,然后使用 nginx 工具来转发。经过我的验证,发现这还真是一个不错的解决方法。

相关如下(跳过域名解析了):
api.conf

server {
    listen       80;
    server_name  api.code666.top;

    location / {
        proxy_pass              http://127.0.0.1:8090;
        proxy_redirect          off;
        proxy_set_header        Host $host;
        proxy_set_header        X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        #root   /usr/share/nginx/html;
        #index  index.html index.htm;
    }

   if ($server_port = 80) {
     return 301 https://api.code666.top$request_uri;
   }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

}

443.conf

server {
   listen       443;
   server_name  api.code666.top;
   ssl  on;

   ssl_certificate      /data/ssl_nginx/1_api.code666.top_bundle.crt;
   ssl_certificate_key  /data/ssl_nginx/2_api.code666.top.key;
   ssl_session_timeout  5m;
   ssl_protocols        TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers               ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;    ssl_session_cache         shared:SSL:50m;
    ssl_prefer_server_ciphers on;

    location / {
        proxy_pass http://127.0.0.1:8090;
        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;
    }

}

二级域名配置 https 也是如上步骤,首先申请二级域名的 SSL 证书....


  • HTTPS
    99 引用 • 274 回帖 • 3 关注
  • NGINX

    NGINX 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 NGINX 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本 0.1.0 发布于 2004 年 10 月 4 日。

    313 引用 • 547 回帖 • 1 关注

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...