nginx https配置多域名共享SSL证书禁止ip访问http强转https

Posted wangjun5159

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了nginx https配置多域名共享SSL证书禁止ip访问http强转https相关的知识,希望对你有一定的参考价值。

nginx https配置

server 
    listen              443 ssl;
    server_name         www.example.com;
    ssl_certificate     www.example.com.crt;
    ssl_certificate_key www.example.com.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ...

按照nginx官方文档所说,要支持https,只需要配置listenssl_certificatessl_certificate_key 三项,ssl_certificate是公钥,通常称为公钥证书,客户端请求建立连接时服务端会将公钥发送给客户端,ssl_certificate_key 是私钥,需要保密,私钥存在服务器端,建立连接时,不会发送到客户端;ssl_protocolsssl_ciphers可以不指定,使用默认值即可。

nginx单ip多域名共享SSL证书

Https证书的SubjectAltName字段可以准确指定适配域名,比如a.domain.comb.domain.com,但有长度限制;SubjectAltName字段还可以指定通配符域名,比如*.domain.com,它只能覆盖一级,a.domain.com,b.doamin.com,但不能覆盖domain.com;通常可以将这两种使用方式结合起来,比如domain.com*.domain.com
单ip多域名情况,应该如何配置证书呢?
答案是在http块中配置SSL,这样server块会继承http中的ssl证书配置,SSL证书只占一块内存,与各个server中配置相比能节省内存。

http
    ssl_certificate     common.crt;
    ssl_certificate_key common.key;

    server 
        listen          443 ssl;
        server_name     www.example.com;
        ...
    

    server 
        listen          443 ssl;
        server_name     www.example.org;
        ...
    

查看证书内容

也许你会好奇,应该怎么查看SSL证书的域名信息呢?拿百度为例。
点击地址栏的锁---->连接是安全的---->证书有效---->详细信息---->使用者可选名称


可以看到,证书适配*.baidu.combaidu.com,还有个常见需求查看证书有效期

当然也可以通过命令查看证书内容,那就要用到openssl了,windows安装openssl,选择Win64 OpenSSL v3.0.3 Light版本,这也是官方推荐的版本。

查看证书内容
先将证书导出
点击地址栏的锁---->连接是安全的---->证书有效---->详细信息---->复制到文件----->

勾选base64编码

openssl x509 -in my.cer -noout -text

查看证书链

有时同一个https网站,有的浏览器正常,有的浏览器告警,这大概率是证书签发机构是中间商,不在浏览器的基础签发库里导致,可以将中间商一直到root的签发机构串起来,
cat www.example.com.crt bundle.crt > www.example.com.chained.crt,注意www.example.com.crt要在前边;
查看证书链命令:

openssl s_client -connect www.baidu.com:443

nginx http强转https

  server
    listen 80;
    return 301 https://$host$request_uri;
  
  • $host 依次从请求url中、request header的Host中、匹配的server_name中获取;
  • $request_uri会包含全部参数的原始请求uri

nginx 禁止ip访问

  server
     listen 80 ;
     listen 443 ssl;
     server_name 指定ip;
     return 403;
  

以上是关于nginx https配置多域名共享SSL证书禁止ip访问http强转https的主要内容,如果未能解决你的问题,请参考以下文章

nginx https配置多域名共享SSL证书禁止ip访问http强转https

一个ip对应多个域名多个ssl证书配置-Nginx实现多域名证书HTTPS

配置域名的ssl证书/https(Nginx)

配置域名的ssl证书/https(Nginx)

nginx配置二级域名以及ssl证书,真的很简单

nginx配置ssl证书后无法访问https