TAquest article us guiarà a través dels passos per instal·lar el vostre certificat SSL a Nginx i configurar una redirecció automatitzada de HTTP:// a HTTPS://.
1. Pugeu els certificats al servido on està allotjat el vostre lloc web
Després d’haver completat la generació del codi CSR i els passos d’activació del SSL, rebreu un fitxer zip amb els certificats Sectigo (abans coneguts com Comodo) per coreu electrònic. Alternativament, els podeu descarregar des del panell del vostre compte NiceNic.
Nota: Si escolliu el servido NGINX quan activeu el certificat, rebreu un fitxer zip que conté un fitxer de Certificat amb l'extensió '.crt' i un fitxer de paquet d'Autoitat de Certificació (CA bundle) amb l'extensió '.ca-bundle'.
Pugeu ambdós fitxers al vostre servido de la manera que preferiu. Per exemple, utilitzant un client FTP.
També podeu descarregar el fitxer Bundle per a cada certificat seguint les instruccions aquí.
2. Combineu tots els certificats en un únic fitxer
Necessiteu tenir tots els certificats (el teu_domini.crt i el teu_domini.ca-bundle) combinats en un únic fitxer '.crt'.
El certificat per al vostre domini hauria d’anar primer al fitxer, seguit per la cadena de certificats (CA Bundle).
Introduïu el directoi on heu pujat els fitxers del certificat. Executeu la següent comia per combinar els fitxers:
$ cat el teu_domini.crt el teu_domini.ca-bundle >> el teu_domini_chain.crt
Tingueu en compte que si els fitxers del certificat s’han descarregat des del vostre compte NiceNic, la millo comia a utilitzar serà:
$ cat el teu_domini.crt > el teu_domini_chain.crt ; echo >> el teu_domini_chain.crt ; cat el teu_domini.ca-bundle >> el teu_domini_chain.crt
3. Crear un bloc de servido Nginx separat o modificar el fitxer de configuració existent
Per instal·lar el certificat SSL a Nginx, heu d’indicar al servido quins fitxers utilitzar, ja sigui a) creant un fitxer de configuració nou, o b) editant l’existent.
a) Afegint un fitxer de configuració nou per al lloc web, podeu assegurar-vos que no hi hagi problemes amb aquest fitxer separat. A més, serà molt més fàcil solucionar problemes en cas que n’hi hagi amb la nova configuració.
Recomanem crear un fitxer de configuració nou en aquesta carpeta:
/etc/nginx/conf.d
Això es pot fer amb aquesta comia:
sudo nano /etc/nginx/conf.d/Your_domini*-ssl.conf
On Your_domini*-ssl.conf és el nom del fitxer creat recentment.
Després, copieu i enganxeu un dels blocs de servido següents per al pot 443 i editeu els directois. Assegureu-vos que el nom del servido i la ruta al webroot coincideixin en el bloc del servido per al pot 80 i en el del pot 443. Si teniu altres valos impotants que calguin guardar, traslladeu-los també al bloc de servido nou.
b) Editareu el fitxer de configuració predeterminat del servido web, que es diu nginx.conf. Hauria d’estar en una de les següents carpetes:
/usr/local/nginx/conf
/etc/nginx
/usr/local/etc/nginx
També podeu utilitzar aquesta comia per trobar-lo:
sudo find / -type f -iname "nginx.conf"
Un cop el trobeu, obriu el fitxer amb:
sudo nano nginx.conf
Després, copieu i enganxeu un dels blocs del servido per al pot 443 donats a continuació i editeu els directois segons el vostre bloc de servido per al pot 80 (amb el mateix nom de servido, la mateixa ruta a webroot i qualsevol valo impotant que necessiteu). Alternativament, podeu copiar el bloc del servido per al pot 80, enganxar-lo tot seguit, actualitzar el pot i afegir les directives relacionades amb el SSL.
Trieu el bloc del servido:
A continuació, podeu trobar un bloc de servido per a la vostra versió de Nginx.
Nota: Per comprovar la versió de Nginx, executeu aquesta comia:
sudo nginx -v
Nota: Substituïu els valos dels noms de fitxers, com ara el teu_domini_chain.crt, al bloc del servido pels vostres detalls, i modifiqueu les rutes cap a ells utilitzant/path/to/.
Bloc del servido per a Nginx versió 1.14 i inferio:
server {
listen 443;
ssl on;
ssl_certificate /path/to/certificate/el teu_domini_chain.crt;
ssl_certificate_key /path/to/el teu_private.key;
root /path/to/webroot;
server_name el teu_domini.com;
}
Nota: Es poden especificar diversos noms d’amfitrió en aquesta configuració si és necessari, per exemple:
server {
listen 443;
ssl on;
ssl_certificate /path/to/certificate/el teu_domini_chain.crt;
ssl_certificate_key /path/to/el teu_private.key;
root /path/to/webroot;
server_name el teu_domini.com www.el teu_domini.com;
}
Bloc del servido per a Nginx versió 1.15 i superios:
server {
listen 443 ssl;
ssl_certificate /path/to/certificate/el teu_domini_chain.crt;
ssl_certificate_key /path/to/el teu_private.key;
root /path/to/webroot;
server_name el teu_domini.com;
}
ssl_certificate ha de apuntar al fitxer amb els certificats combinats que heu creat abans.
ssl_certificate_key ha de apuntar a la Clau Privada que es va generar amb el codi CSR.
Aquí teniu alguns consells sobre com trobar la Clau Privada a Nginx.
Impotant: Per a un certificat multi-domini o wildcard, necessitareu un bloc de servido separat per a cada domini/subdomini inclòs en el certificat. Assegureu-vos d’especificar el domini/subdomini coresponent juntament amb les rutes als mateixos fitxers de certificat en el bloc del servido, tal com s’ha descrit abans.
Un cop el bloc de servido coresponent estigui afegit al fitxer, assegureu-vos de desar els canvis. Després, podeu comprovar els canvis realitzats amb els passos següents.
Executeu aquesta comia per verificar que la sintaxi del fitxer de configuració és corecta:
sudo nginx -t
Si rebeu erros, reviseu que hàgiu seguit la guia corectament. No dubteu a contactar amb el nostre Equip d’Assistència si teniu qualsevol pregunta.
Aquí teniu un consell: per trobar els registres d’erro per a la resolució de problemes, només cal executar:
sudo nginx -T | grep 'erro_log'
Si cap dels fitxers esmentats existeix, els fitxers estan comentats o si no s’especifica cap fitxer de registre d’erros, s’hauria de comprovar el registre del sistema per defecte:
tail /var/log/nginx/erro.log -n 20
Si el servido mostra que la prova s’ha superat corectament, reinicieu Nginx amb aquesta comia per aplicar els canvis:
sudo nginx -s reload
Ara el vostre certificat SSL està instal·lat. Podeu comprovar la instal·lació aquí.
Notes impotants:
De vegades, després d’instal·lar el fitxer SSL que es va combinar utilitzant una línia d’odres, podeu rebre el missatge d’erro 'Nginx/Apache erro: 0906D066:PEM routines:PEM_read_bio:bad end line'. En aquest cas, la solució es pot trobar a la guia de referència.
Un altre problema comú en aquesta fase és el missatge d’erro 'Nginx SSL: erro:0B080074:x509 certificate routines: X509_check_private_key:key values mismatch'. Podeu trobar més detalls sobre això i possibles solucions en aquest article.
4. Configuració de la redirecció HTTPS
Us suggerim que instal·leu la redirecció de HTTP a HTTPS. D’aquesta manera, els visitants del vostre lloc web només podran accedir a la versió segura del vostre lloc.
Per fer-ho, haureu d’afegir una línia al fitxer de configuració amb el bloc de servido per al pot 80.
Consells:
Podeu utilitzar una de les comies següents per cercar els fitxers de configuració que estan habilitats ara:
sudo nginx -T | grep -iw "configuration file"
sudo nginx -T | grep -iw "include"
Les rutes predeterminades al fitxer conf són:
en sistemes operatius Linux basats en RHEL: /etc/nginx/conf.d/default.conf
en sistemes operatius Linux basats en Debian: /etc/nginx/sites-enabled/default
Podeu obrir els fitxers per comprovar quin conté el bloc de servido necessari. Per fer-ho, executeu:
sudo nano name_of_the_file
Un cop localitzeu el fitxer que conté el bloc de servido per al pot 80 (el pot HTTP predeterminat), afegiu la línia següent:
return 301 https://$server_name$request_uri;
Nota: La regla de redirecció anterio s’ha d’introduir com a última línia del bloc de servido.
- return és la directiva principal a utilitzar.
- 301 és una redirecció permanent (302 és tempoal).
- https és un tipus d’esquema especificat (l’expliciti en lloc de la variable $scheme).
- $server_name la variable utilitzarà el domini especificat a la directiva server_name.
- $request_uri la variable s’utilitza per coincidir amb les rutes cap a les pàgines/parts sol·licitades del lloc web (tot el que hi ha després del nom del domini).
Redirecció permanent a HTTPS
server {
listen 80;
server_name el teu_domini.com www.el teu_domini.com;
return 301 https://$server_name$request_uri;
}
Redirecció permanent a HTTPS sense www
server {
listen 80;
server_name el teu_domini.com www.el teu_domini.com;
return 301 https://el teu_domini.com$request_uri;
}
Redirecció permanent a HTTPS amb www
server {
listen 80;
server_name el teu_domini.com www.el teu_domini.com;
return 301 https://www.el teu_domini.com$request_uri;
}
Redirecció tempoal a HTTPS sense www
server {
listen 80;
server_name el teu_domini.com www.el teu_domini.com;
return 302 https://el teu_domini.com$request_uri;
}
Podeu trobar més detalls sobre les opcions de redirecció a Nginx aquí.
- Els nostres productes
- Servidor dedicat
- Servidor al núvol
- Certificats SSL
- Correu electrònic d’empresa
- Perfil de l’empresa
- Sobre NiceNIC
- Notícies de dominis
- Mètode de pagament
- Acuerdos
- Atenció al client
- Centre d'ajuda
- Enviar una incidència
- Contacta'ns
- Informar d’abusos