nginx配置https证书（nginx配置https双向认证）

HTTPS做的就是给请求加密,让数据传输更安全

1. 安装Openssl

通过Openssl自己生成证书。首先我们需要用到生成证书的Openssl软件

下载地址（根据系统选择32位或者64位版本下载安装）。

下载完成后，进行安装。本人安装在 C:\wnmp\OpenSSL-Win64

安装前，可能会提示缺少 Microsoft Visual C++ 2017 Redistributables，百度搜索，安装即可

2. 配置环境变量

在环境变量中添加环境变量

变量名： OPENSSL_HOME 变量值：C:\wnmp\OpenSSL-Win64\bin; （变量值为openssl安装位置）

在path变量结尾添加如下： %OPENSSL_HOME%;

3. 生成证书

（1）首先在 nginx安装目录中创建ssl文件夹用于存放证书。

比如我的文件目录为 C:\wnmp\nginx\ssl

以管理员身份进入命令行模式，进入ssl文件夹。命令为： cd c:/wnmp/nginx/ssl

（2）创建私钥

在命令行中执行命令： openssl genrsa -des3 -out lee.key 1024 （lee文件名可以自定义），如下图：

nginx配置https证书（nginx配置https双向认证）(1)

输入密码后，再次重复输入确认密码。记住此密码，后面会用到。如：1qaz2wsx

（3）创建csr证书

在命令行中执行命令： openssl req -new -key lee.key -out lee.csr （key文件为刚才生成的文件，lee为自定义文件名）

nginx配置https证书（nginx配置https双向认证）(2)

如上图，执行上述命令后，需要输入信息。输入的信息中最重要的为 Common Name，这里输入的域名即为我们要使用https访问的域名。

以上步骤完成后，ssl文件夹内出现两个文件：

nginx配置https证书（nginx配置https双向认证）(3)

（4）去除密码。

在加载SSL支持的Nginx并使用上述私钥时除去必须的口令，否则会在启动nginx的时候需要输入密码。

复制lee.key并重命名为lee.key.org

去除口令，在命令行中执行此命令： openssl rsa -in lee.key.org -out lee.key （lee为自定义文件名）

nginx配置https证书（nginx配置https双向认证）(4)

（5）生成crt证书

在命令行中执行此命令： openssl x509 -req -days 365 -in lee.csr -signkey lee.key -out lee.crt （lee为自定义文件名）

365为一年，可以加长

证书生成完毕，ssl文件夹中一共生成如下4个文件，我们需要使用到的是lee.crt和lee.key。

nginx配置https证书（nginx配置https双向认证）(5)

4. 修改nginx.conf文件

nginx.conf文件位于：C:\wnmp\nginx\conf

找到该文件中如下代码的位置进行修改：

原文：

# HTTPS server

    #

    #server {

    #    listen       443 ssl;

    #    server_name  localhost;

    #    ssl_certificate      cert.pem;

    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;

    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;

    #    ssl_prefer_server_ciphers  on;

    #    location / {

    #        root   html;

    #        index  index.html index.htm;

    #    }

    #}

修改后：

# HTTPS server

    #

#modify by lee 201607777907 for https -s 

    server {

        listen       443 ssl;

        server_name    www.lee.com;

        ssl_certificate      C:/wnmp/nginx/ssl/lee.crt;

        ssl_certificate_key  C:/wnmp/nginx/ssl/lee.key;

        ssl_session_cache    shared:SSL:1m;

        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;

        ssl_prefer_server_ciphers  on;

        location / {

            root   C:/wnmp/lee;

            index  index.html index.htm index.php;

        }
               root           C:/wnmp/lee;
               fastcgi_pass   127.0.0.1:9001;
               fastcgi_index  index.php;
               fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
               include        fastcgi_params;
        }

    }

5.配置host文件

C:\Windows\System32\drivers\etc 路径下

127.0.0.1 www.lee.com #需要配置的域名

6 重启nginx。

在浏览器中，访问 https://www.lee.com。发现出现证书认证，并能够成功访问。（www.lee.com为生成证书时，Common Name输入的域名）

nginx配置https证书（nginx配置https双向认证）(6)

https被红色划线是因为我们使用的是自己生成的证书，此证书不受浏览器信任，如果想使其变为绿色，则需要向证书管理机构进行申请