centos 7 Nginx ssl证书配置

Posted 2023-05-02

nginx.conf中https的两个选项ssl_certificate，ssl_certificate_key都指定了证书目录，但访问网页的时候却传的是个跟域名不匹配的其他证书，是不是有其他哪里配置不对？

由于ssl握手时还没有进到http那一层，所以没有域名信息
支持SNI的客户端可以在握手时将域名信息发给服务器，这样服务器才会返回正确的证书
这个可以通过将多个域名放到一张证书上解决
现在的浏览器基本都支持SNI，只有老版本ie或者某些非浏览器的客户端不支持
使用nginx -V看下是否支持TLS SNI，开启的话就是客户端不支持了 参考技术A 啦啦啦啦

Nginx部署SSL证书反向代理

1、环境简介

　　使用一台centos6.4系统部署Nginx反向代理，代理客户的网站，客户需要提供ssl证书，可以到ca认证中心申请，由于第一次部署因此闹了不少乌龙。

2、安装Nginx，配置方向代理

　　　　（1）安装依赖环境

　　　　　　yum -y install gcc* pcre zlib

　　　　 （2）安装Nginx

　　　　　　yum -y install nginx

　　　　（3）编辑配置文件

　　　　　　vi /etc/nginx/conf.d/default.cof

　　　　　　server {
　　　　　　　　　　# listen 80 ;
　　　　　　　　　　listen 443 ssl ;
　　　　　　　　　　server_name www.test.com;

　　　　　　　　　　ssl_certificate /root/cert.crt;      ##证书
　　　　　　　　　　ssl_certificate_key /root/cert.key;  ##秘钥
　　　　　　　　　　ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
　　　　　　　　　　ssl_session_cache shared:SSL:1m;
　　　　　　　　　　ssl_session_timeout 5m;
　　　　　　　　　　ssl_ciphers HIGH:!aNULL:!MD5;
　　　　　　　　　　ssl_prefer_server_ciphers on;
　　　　　　　　　　error_page 497 https://$host$uri?$args;
　　　　　　　　　　if ( $host = $server_addr ) {
　　　　　　　　　　return 444;
　　　　　　　　　　}

　　　　　　　　location / {
　　　　　　　　　　　　proxy_pass http:// ip;##重定向客户网站
　　　　　　　　　}
　　　　　　　}

　　　　　　server {
　　　　　　　　listen 80 default;
　　　　　　　　server_name www.test.com;
　　　　　　　　if ( $host = $server_addr ) {
　　　　　　　　　　return 444;
　　　　　　　　}

　　　　　　　　rewrite ^(.*)$ https://$host$1 permanent;   ##  80端口重定向到443端口实现http到https
　　　　　　}

 到此完成整个反向代理过程，注意在此时需要将域名解析到反向代理的公网ip之上