Nginx默认站点自签SSL证书

为什么要给Nginx的默认站点添加一个SSL证书的？
之前就遇到一个问题，同一个服务器上面，多个站点，有http的，也有https的，后面发现，如果http的站点，通过https访问会默认访问到第一个建立的https站点。
而且还有一个更重要的问题，如果你的站点套了CDN，不想暴露你源服务器IP，但是这样可以通过https://censys.io/ipv4等一些爬虫站解析出真实IP，很不安全。

解决这个问题其实就是给默认站点443端口的https添加一个SSL证书，这里可以是任意证书，你可以添加一个免费的Let’s Encrypt证书，但是这样需要使用一个域名签发，但是有域名也就暴露了很多信息，
我们可以使用自签一个，你可以在服务器上使用openssl自签，具体步骤搜索一下就可以。当然现在有很多在线生成的工具和网站，你完全可以使用。

http://web.chacuo.net/netcreatecrt 在线签发

这里要注意一个问题，很多自签的时候需要输入证书密码，在使用过程中，nginx重启就会要求输入密码

Enter PEM pass phrase:

这样在服务器每次重启都要输入密码，我们可以通过下面取消这个密码。

openssl rsa -in 1.key -out 1.key.unsecure

nginx.conf 在默认站点下面配置一下证书信息

    server {
        listen 443;
        ssl_certificate    /home/ssl/1.pem;
        ssl_certificate_key /home/ssl/1.key.unsecure;
        server_name localhost;
        root /home/wwwroot/;
        index index.php index.html index.htm;
        access_log off;
     }

通过https://ip 可以测试一下，浏览器报不信任的站点，查看一下证书信息，看看是不是刚刚自签的证书。

懒人可以使用一下我自签的证书
1.key

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

1.pem

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

转载请注明：果果.IT » Nginx默认站点自签SSL证书