如何设置SSL Vhosts在Nginx + SNI支持（Ubuntu 11.04 / Debian Squeeze）-系统运维-优客志

如何在Nginx + SNI支持下设置SSL Vhosts（Ubuntu 11.04 / Debian Squeeze）

本文介绍如何在Ubuntu 11.04和Debian Squeeze上的nginx下设置SSL vhost，以便您可以通过HTTPS（端口443）访问vhost。 SSL是安全套接字层的缩写，是一种加密协议，通过端到端传输层加密网络连接段，为通过网络进行通信提供安全性。除此之外，我还将展示如何使用SNI（服务器名称指示）来允许每个IP地址的多个SSL虚拟机。

本文档不附带任何形式的保证！我不会保证这将为您工作！

1初步说明

我假设你在Ubuntu 11.04或Debian Squeeze框中有一个工作的nginx设置，如这些教程所示：

我将为我的vhost www.hostmauritius设置SSL 。 com - hostmauritius.com是我拥有的一个域 - 将其替换为您自己的域。我将演示如何使用自签名证书（这将导致浏览器警告当您访问http：//www.hostmauritius.com ）以及如何从受信任的证书颁发机构（CA）获取证书，如Verisign ，Thawte，Comodo等 - 使用来自受信任CA的证书，您的访问者将不会看到任何浏览器警告，就像自签名证书一样。我将使用CAcert.org的证书 - 这些证书是免费的，但不被所有浏览器识别，但它应该提供如何从受信任的CA安装证书的想法。

传统上每个IP地址不可能有多个SSL vhosts。随着SNI（服务器名称指示）的上升而改变。我将展示如何在与www.hostmauritius相同的IP地址上设置第二个SSL vhost（我自己拥有的www.hostmauritius.net）。 在SNI的帮助下。请注意，目前所有浏览器/操作系统都不支持SNI：

支持TLS服务器名称指示的浏览器/客户端：

Opera 8.0及更高版本（必须启用TLS 1.1协议）
Internet Explorer 7或更高版本（仅限Windows Vista和更高版本，不在Windows XP下）
Firefox 2.0或更高版本
Curl 7.18.1或更高版本（根据支持SNI的SSL / TLS工具包进行编译时）
Chrome 6.0或更高版本（在所有平台上 - 仅在特定操作系统版本上最多发布5.0）
Safari 3.0或更高版本（在OS X 10.5.6或更高版本以及Windows Vista及更高版本下）

要了解您的浏览器是否支持SNI，您可以访问https://alice.sni.velox.ch/ 。

我使用root权限运行本教程中的所有步骤，因此请确保以root用户身份登录。在Ubuntu上运行

sudo su

成为root用户。

2确定你的Nginx版本

首先，您应该了解您的nginx版本，因为版本<0.8.21和版本> = 0.8.21的SSL配置略有不同。

nginx -v

在Ubuntu 11.04，你应该有nginx 0.8.54：

root@server1:~# nginx -v
 nginx version: nginx/0.8.54
 root@server1:~#

在Debian Squeeze上，它是nginx 0.7.67：

root@server1:~# nginx -v
 nginx version: nginx/0.7.67
 root@server1:~#

3设置Vhost

我现在将使用文件根/var/www/www.hostmauritius.com/web创建vhost www.hostmauritius.com 。首先我创建该目录：

mkdir -p /var/www/www.hostmauritius.com/web

为http（端口80）创建一个简单的nginx vhost配置：

vi /etc/nginx/sites-available/www.hostmauritius.com.vhost

server {
        listen   80; ## listen for ipv4
        listen   [::]:80; ## listen for ipv6

        server_name  www.hostmauritius.com hostmauritius.com;
        root /var/www/www.hostmauritius.com/web;

        if ($http_host != "www.hostmauritius.com") {
                 rewrite ^ http://www.hostmauritius.com$request_uri permanent;
        }

        location / {
                index  index.php index.html index.htm;
        }

        location ~ \.php$ {
                fastcgi_pass   127.0.0.1:9000;
                fastcgi_index  index.php;
                fastcgi_param  SCRIPT_FILENAME  /var/www$fastcgi_script_name;
                include         fastcgi_params;
        }

        location ~ /\. {
                deny  all;
        }
}

启用vhost并重新加载nginx：

cd /etc/nginx/sites-enabled/
 ln -s /etc/nginx/sites-available/www.hostmauritius.com.vhost www.hostmauritius.com.vhost
 /etc/init.d/nginx reload

4创建自签名证书

在我们设置SSL vhost之前，我们需要一个SSL证书。现在我将向您展示如何创建自己的自签名证书。使用此证书，您将获得浏览器警告，但是此证书需要稍后从受信任的CA获取受信任的证书。

确保安装了ssl-cert软件包：

apt-get install ssl-cert

您现在可以为www.hostmauritius.com创建一个自签名证书，如下所示：

make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/private/www.hostmauritius.com.crt

您将被要求提供主机名：

主机名： < - www.hostmauritius.com

这将在一个文件中创建自签名证书和私钥，/ etc/ssl/private/www.hostmauritius.com.crt ：

cat /etc/ssl/private/www.hostmauritius.com.crt

我现在将该文件分成两部分，私钥/etc/ssl/private/www.hostmauritius.com.key和自签名证书/etc/ssl/certs/www.hostmauritius.com.pem ：

vi /etc/ssl/private/www.hostmauritius.com.key

该文件必须包含以----- BEGIN RSA PRIVATE KEY -----开始的部分，以----- END RSA PRIVATE KEY结尾----- ：

密钥只能由root可读写：

chmod 600 /etc/ssl/private/www.hostmauritius.com.key

vi /etc/ssl/certs/www.hostmauritius.com.pem

该文件必须包含以-----开始证书-----开头的部分，并以----- END CERTIFICATE -----结尾：

现在我们可以删除/etc/ssl/private/www.hostmauritius.com.crt文件：

rm -f /etc/ssl/private/www.hostmauritius.com.crt

如何设置SSL Vhosts在Nginx + SNI支持（Ubuntu 11.04 / Debian Squeeze）

如何在Nginx + SNI支持下设置SSL Vhosts（Ubuntu 11.04 / Debian Squeeze）

1初步说明

2确定你的Nginx版本

3设置Vhost

4创建自签名证书

相关推荐

推荐云主机，建站更安全

热度排行

热门标签

回顶部

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏