Tehk selles artiklis juhendatakse teid SSL-sertifikaadi paigaldamisel Nginxil ning automaatse ümber suunamise seadistamisel HTTP://-lt HTTPS://-le.
1. Laadige sertifikaadid üles serverisse, kus teie veebisait majutatakse
Pärast CSR-koodi genereerimise ja SSL-i aktiveerimise samme saate e-kirjaga Sectigo (eelnevalt Comodo nime all olnud) sertifikaatide ZIP-faili. Alternatiivselt saate need alla laadida oma NiceNic konto paneelilt.
Märkus: Kui valite sertifikaadi aktiveerimisel NGINX serveri, saate ZIP-faili, mis sisaldab sertifikaadifaili '.crt' laiendiga ja sertifitseerimisasutuse (CA) komplekti faili '.ca-bundle' laiendiga.
Laadige mõlemad failid serverisse üles teile sobival viisil, näiteks FTP-klienti kasutades.
Iga sertifikaadi jaoks saate komplektifaili alla laadida järgides siinses juhendis olevaid juhiseid.
2. Ühendage kõik sertifikaadid üheks failiks
Kõik sertifikaadid (sinu_domeen.crt ja sinu_domeen.ca-bundle) tuleks ühendada ühte '.crt' faili.
Failis peaks esimesena olema teie domeeni sertifikaat, millele järgneb sertifikaatide ahela komplekt (CA Bundle).
Minge kataloogi, kuhu laadisite sertifikaadifailid üles. Käivitage järgmine käsk failide ühendamiseks:
$ cat sinu_domeen.crt sinu_domeen.ca-bundle >> sinu_domeen_chain.crt
Pange tähele, et kui sertifikaadifailid laaditi alla teie NiceNic kontolt, on parem kasutada seda käsku:
$ cat sinu_domeen.crt > sinu_domeen_chain.crt ; echo >> sinu_domeen_chain.crt ; cat sinu_domeen.ca-bundle >> sinu_domeen_chain.crt
3. Eraldi Nginx serveribloki loomine või olemasoleva konfiguratsioonifaili muutmine
SSL-sertifikaadi paigaldamiseks Nginxil peate serverile näitama, milliseid faile kasutada, kas a) luues uue konfiguratsioonifaili või b) muutes olemasolevat.
a) Uue konfiguratsioonifaili lisades saate veenduda, et eraldiseisva konfiguratsioonifailiga ei teki probleeme. Samuti on uue konfiguratsiooni kv?iral installatsiooni tõrkeotsing lihtsam.
Soovitame uue konfiguratsioonifaili luua selles kaustas:
/etc/nginx/conf.d
Seda saab teha järgmise käsuga:
sudo nano /etc/nginx/conf.d/Your_domeen*-ssl.conf
Kus Your_domeen*-ssl.conf on äsja loodud faili nimi.
Kopeerige ja kleepige seejärel üks alljärgnevatest serveriblokkidest pv?idi 443 jaoks ja muutke katalooge vastavalt. Veenduge, et serveri nimi ja veebijuure tee vastaksid nii pv?idi 80 kui ka pv?idi 443 serveriblokkides. Kui teil on vaja salvestada ka muid olulisi väärtusi, liigutage need samuti uude serveriblokki.
b) Muutke veebiserveri vaikekonfiguratsioonifaili, mille nimi on nginx.conf. See peaks asuma ühes järgmistest kaustadest:
/usr/local/nginx/conf
/etc/nginx
/usr/local/etc/nginx
Seda faili saate otsida ka järgmise käsuga:
sudo find / -type f -iname "nginx.conf"
Kui leiate faili, avage see käsuga:
sudo nano nginx.conf
Kopeerige ja kleepige üks allolevatest pv?idi 443 serveriblokkidest ning muutke katalooge vastavalt oma pv?idi 80 serveriblokile (sobittades serverinimi, veebijuure tee ja teised vajalikud väärtused). Või kopeerige esmalt pv?idi 80 serveriblokk, kleepige allapoole, muutke pv?iti ja lisage vajalikud SSL-i juhised.
Valige serveriblokk:
Järgnevalt leiate serveribloki vastavalt teie Nginxi versioonile.
Märkus: Oma Nginxi versiooni kontrollimiseks käivitage järgmine käsk:
sudo nginx -v
{{G127}}
Märkus: Asendage serveriblokis failinimede väärtused, nagu sinu_domeen_chain.crt, oma jametega ja muutke teekondi nendele kasutades/path/to/.
Nginx versioonile 1.14 ja vanemad serveriblokk:
server {
listen 443;
ssl on;
ssl_certificate /path/to/certificate/sinu_domeen_chain.crt;
ssl_certificate_key /path/to/sinu_private.key;
root /path/to/webroot;
server_name sinu_domeen.com;
}
Märkus: Vajadusel saate sellises konfiguratsioonis määrata mitu hostinime, näiteks:
server {
listen 443;
ssl on;
ssl_certificate /path/to/certificate/sinu_domeen_chain.crt;
ssl_certificate_key /path/to/sinu_private.key;
root /path/to/webroot;
server_name sinu_domeen.com www.sinu_domeen.com;
}
Nginx versioonile 1.15 ja uuemad serveriblokk:
server {
listen 443 ssl;
ssl_certificate /path/to/certificate/sinu_domeen_chain.crt;
ssl_certificate_key /path/to/sinu_private.key;
root /path/to/webroot;
server_name sinu_domeen.com;
}
ssl_certificate peaks viitama varem loodud ühendatud sertifikaadifailile.
ssl_certificate_key peaks viitama privaatvõtmele, mis genereeriti CSR-koodiga.
Siin on mõned näpunäited privaatvõtme leidmiseks Nginxis.
Tähtis: Kasutades Multi-Domeen või Wildcard sertifikaati, tuleb iga sertifikaadis oleva domeeni või alamdomeeni jaoks lisada eraldi serveriblokk. Veenduge, et serveriblokis oleks määratud vastav domeen/alamdomeen koos samade sertifikaatide failide teedega, nagu eespool kirjeldatud.
Kui vastav serveriblokk on failile lisatud, salvestage muudatused. Seejärel saate muudatused üle kontrollida järgmiste sammudega.
Kontrollimaks konfiguratsioonifaili süntaksit, käivitage järgmine käsk:
sudo nginx -t
Kui ilmnevad vead, kontrollige juhendi järgimist uuesti. Küsimuste kv?iral võtke julgelt ühendust meie tugitiimiga.
Näpunäide: vigade logide leidmiseks tõrkeotsinguks käivitage:
sudo nginx -T | grep 'errv?i_log'
Kui mainitud faile pole või need on kommenteeritud või vigade logifaile pole määratud, tuleks kontrollida vaikimisi süsteemi logi:
tail /var/log/nginx/errv?i.log -n 20
Kui test näitab edukat tulemust, taaskäivitage Nginx järgmise käsuga muudatuste rakendamiseks:
sudo nginx -s reload
Nüüd on teie SSL-sertifikaat paigaldatud. Paigaldust saate kontrollida siin.
Olulised märkused:
Mõnikv?id, pärast SSL-faili installimist, mis on ühendatud käsurealt, võite saada veateate 'Nginx/Apache errv?i: 0906D066:PEM routines:PEM_read_bio:bad end line’; võimaliku lahenduse leiate viitava juhendi juurest.
Teine levinud probleem selles etapis on viga 'Nginx SSL: errv?i:0B080074:x509 certificate routines: X509_check_private_key:key values mismatch'; selle üksikasju ja võimalikke lahendusi leiate selles artiklis.
4. Seadistage HTTPS-ümbersuunamine
Soovitame paigaldada suunamise HTTP-st HTTPS-ile. Nii pääsevad teie veebisaidi külastajad ligi vaid saidi turvalisele versioonile.
Selleks peate lisama ühe rea konfiguratsioonifaili, millel on serveriblokk pv?idi 80 jaoks.
Näpunäited:
Järgnevatest käskudest saate vaadata, millised konfiguratsioonifailid on hetkel lubatud:
sudo nginx -T | grep -iw "configuration file"
sudo nginx -T | grep -iw "include"
Vaikesed konfifaili teed on:
RHEL-põhistel Linuxi Operatsioonisüsteem-del: /etc/nginx/conf.d/default.conf
Debian-põhistel Linuxi Operatsioonisüsteem-del: /etc/nginx/sites-enabled/default
Saate faile avada, et kontrollida, milline neist sisaldab vajalikku pv?idi 80 serveriblokki. Selleks käivitage:
sudo nano name_of_the_file
Kui leiate faili, mis sisaldab pv?idi 80 serveriblokki (vaikimisi HTTP pv?it), lisage sinna järgmine rida:
return 301 https://$server_name$request_uri;
Märkus: Ülaltoodud suunamisreegel peaks olema serveribloki viimane rida.
- return on peamine kasutatav juhis.
- 301 on püsiv ümber suunamine (302 on ajutine).
- https on määratud skeemi tüüp (selge avaldus versus $scheme muutuja).
- $server_name muutuja kasutab server_name juhises määratud domeeni.
- $request_uri muutuja vastab teele ja lehe osadele, mis domeeni järel küsiti (kõik peale domeeninime).
Püsiv suunamine HTTPS-le
server {
listen 80;
server_name sinu_domeen.com www.sinu_domeen.com;
return 301 https://$server_name$request_uri;
}
Püsiv suunamine HTTPS-le ilma 'www'
server {
listen 80;
server_name sinu_domeen.com www.sinu_domeen.com;
return 301 https://sinu_domeen.com$request_uri;
}
Püsiv suunamine HTTPS-le koos 'www'
server {
listen 80;
server_name sinu_domeen.com www.sinu_domeen.com;
return 301 https://www.sinu_domeen.com$request_uri;
}
Ajutine suunamine HTTPS-le ilma 'www'
server {
listen 80;
server_name sinu_domeen.com www.sinu_domeen.com;
return 302 https://sinu_domeen.com$request_uri;
}
Lisateavet Nginxi suunamisvalikute kohta leiate siit.
- Meie tooted
- Pühendatud server
- Pilveserver
- SSL-sertifikaadid
- ?riemail
- Ettev?tte profiil
- NiceNIC kohta
- Domeeni uudised
- Makseviis
- Lepingud