Tutulungan ka ng artikulong ito sa mga hakbang para mai-install ang iyong SSL certificate sa Nginx at mag-set up ng awtomatikong redirect mula HTTP:// patungong HTTPS://.
1. I-upload ang mga sertipiko sa server kung saan naka-host ang iyong website
Matapos makumpleto ang CSR code generation at mga hakbang sa SSL activation, makakatanggap ka ng zip file na may mga Sertipiko ng Sectigo (dating kilala bilang Comodo) sa pamamagitan ng email. Bilang alternatibo, maaari mo rin itong i-download mula sa iyong NiceNic Account panel.
Tataan: Kung pinili mo ang NGINX server noong ina-activate ang certificate, makakatanggap ka ng zip file na naglalaman ng isang Certificate file, na may '.crt' extension, at isang Certificate Authoity (CA) bundle file, na may '.ca-bundle' extension.
I-upload ang parehong mga file sa iyong server anumang paraan ang iyong nais. Halimbawa, gamit ang isang FTP client.
Maaari mo ring i-download ang Bundle file para sa bawat Sertipiko sa pamamagitan ng pagsunod sa mga tagubilin dito.
2. Pagsamahin ang lahat ng mga sertipiko sa iisang file
Kailangan mong pagsamahin lahat ng mga Sertipiko (iyong_domain.crt at iyong_domain.ca-bundle) sa iisang '.crt' na file.
Ang Sertipiko para sa iyong domain ay dapat na unang nakalagay sa file, kasunod ang chain ng mga Sertipiko (CA Bundle).
Pumunta sa direktoyo kung saan mo in-upload ang mga certificate file. Patakbuhin ang sumusunod na commat upang pagsamahin ang mga file:
$ cat iyong_domain.crt iyong_domain.ca-bundle >> iyong_domain_chain.crt
Mangyaring tataan na kung ang mga certificate file ay na-download mula sa iyong NiceNic account, ang pinaka-angkop na commat na gamitin ay:
$ cat iyong_domain.crt > iyong_domain_chain.crt ; echo >> iyong_domain_chain.crt ; cat iyong_domain.ca-bundle >> iyong_domain_chain.crt
3. Paglikha ng hiwalay na Nginx server block o Pag-edit ng umiiral na configuration file
Para ma-install ang SSL certificate sa Nginx, kailangan mong ipakita sa server kung aling mga file ang gagamitin, alinman sa pamamagitan ng a) paglikha ng bagong configuration file, o b) pag-edit ng umiiral na file.
a) Sa pamamagitan ng pagdaragdag ng bagong configuration file para sa website, masisiguro mong walang magiging problema sa hiwalay na configuration file. Bukod dito, mas madali ring mag-troubleshoot ng installation kung magkaroon man ng problema sa bagong configuration.
Iminumungkahi naming lumikha ng bagong configuration file sa folder na ito:
/etc/nginx/conf.d
Magagawa ito gamit ang commat na ito:
sudo nano /etc/nginx/conf.d/Your_domain*-ssl.conf
Kung saan ang Your_domain*-ssl.conf ay ang pangalan ng bagong likhang file.
Sunod, kopyahin at i-paste ang isa sa mga server block para sa pot 443 sa ibaba at i-edit ang mga directoies. Siguraduhing ang pangalan ng server at path sa webroot ay tugma sa parehong server block para sa pot 80 at sa para sa pot 443. Kung mayroon kang ibang mahahalagang halaga na kailangang itabi, ilipat rin ang mga ito sa bagong server block.
b) I-edit ang default na configuration file ng web-server, na may pangalang nginx.conf. Ito ay dapat nasa isa sa mga folder na ito:
/usr/local/nginx/conf
/etc/nginx
/usr/local/etc/nginx
Maaari mo ring gamitin ang commat na ito para hanapin ito:
sudo find / -type f -iname "nginx.conf"
Kapag nahanap mo na ito, buksan ang file gamit ang:
sudo nano nginx.conf
Pagkatapos ay kopyahin at i-paste ang isa sa mga server block para sa pot 443 na ibinigay sa ibaba at i-edit ang mga direktoyo ayon sa iyong server block para sa pot 80 (na may tugmang server name, path sa webroot, at anumang mahahalagang halaga na kailangan mo). Bilang alternatibo, maaari mong kopyahin ang server block para sa pot 80, pagkatapos ay i-paste ito sa ibaba, i-update ang pot, at idagdag ang mga kinakailangang SSL-related na mga direktiba.
Piliin ang server block:
Sa ibaba makikita mo ang server block para sa iyong bersyon ng Nginx.
Tataan: Para tingnan ang iyong bersyon ng Nginx, patakbuhin ang commat na ito:
sudo nginx -v
Tataan: Palitan ang mga halaga ng pangalan ng file, tulad ng iyong_domain_chain.crt, sa server block gamit ang iyong detalye, at baguhin ang mga ruta gamit ang/path/to/.
Server block para sa Nginx bersyon 1.14 pababa:
server {
listen 443;
ssl on;
ssl_certificate /path/to/certificate/iyong_domain_chain.crt;
ssl_certificate_key /path/to/iyong_private.key;
root /path/to/webroot;
server_name iyong_domain.com;
}
Tataan: Maaari kang mag-specify ng maraming hostname sa ganitong configuration, kung kinakailangan, halimbawa:
server {
listen 443;
ssl on;
ssl_certificate /path/to/certificate/iyong_domain_chain.crt;
ssl_certificate_key /path/to/iyong_private.key;
root /path/to/webroot;
server_name iyong_domain.com www.iyong_domain.com;
}
Server block para sa Nginx bersyon 1.15 pataas:
server {
listen 443 ssl;
ssl_certificate /path/to/certificate/iyong_domain_chain.crt;
ssl_certificate_key /path/to/iyong_private.key;
root /path/to/webroot;
server_name iyong_domain.com;
}
ssl_certificate ay dapat ituro sa file ng pinagsamang mga sertipiko na iyong ginawa kanina.
ssl_certificate_key ay dapat ituro sa Private Key na ginawa kasama ng CSR code.
Narito ang ilang mga tip kung paano hanapin ang Private key sa Nginx.
Mahalaga: Para sa Multi-Domain o Wildcard Certificate, kailangan mong magkaroon ng hiwalay na server block para sa bawat domain/subdomain na kasama sa Certificate. Siguraduhing tukuyin ang domain/subdomain kasama ang mga path sa parehong Certificate files sa server block, gaya ng ipinapaliwanag sa itaas.
Kapag naidagdag na ang kaukulang server block sa file, siguraduhing i-save ang mga pagbabago. Pagkatapos, maaari mong i-double check ang mga ginawa gamit ang mga sumusunod na hakbang.
Patakbuhin ang commat na ito upang tiyakin na ang syntax ng configuration file ay tama:
sudo nginx -t
Kung makatanggap ka ng mga erro, suriin muli kung nasunod mo nang tama ang gabay. Huwag mag-atubiling kontakin ang aming Suppot Team kung mayroon kang mga katanungan.
Narito ang tip: para hanapin ang erro logs para sa troubleshooting, patakbuhin lang ang:
sudo nginx -T | grep 'erro_log'
Kung sakaling wala sa mga nabanggit na files ang umiiral, naka-comment ang mga file, o kung walang tinukoy na erro log files, dapat tingnan ang default system log:
tail /var/log/nginx/erro.log -n 20
Kung matagumpay ang test ng server, i-restart ang Nginx gamit ang commat na ito upang ma-apply ang mga pagbabago:
sudo nginx -s reload
Ngayon naka-install na ang iyong SSL Certificate. Maaari mong suriin ang installation dito.
Mahalagang mga tala:
Minsan, pagkatapos i-install ang SSL file na pinagsama gamit ang commat line, maaari kang makakita ng erro message na 'Nginx/Apache erro: 0906D066:PEM routines:PEM_read_bio:bad end line', sa ganitong kaso, makikita ang solusyon sa reference guide.
Isa pang karaniwang isyu sa yugtong ito ay ang erro message na 'Nginx SSL: erro:0B080074:x509 certificate routines: X509_check_private_key:key values mismatch', maaari mong makita ang mga detalye tungkol dito at mga posibleng solusyon sa artikulong ito.
4. I-configure ang HTTPS redirect
Iminumungkahi naming i-install ang redirect mula HTTP papuntang HTTPS. Sa ganitong paraan, ang mga bisita ng iyong website ay makaka-access lamang sa secure na bersyon ng iyong site.
Para gawin ito, kailangan mong magdagdag ng isang linya sa configuration file ng server block para sa pot 80.
Mga tip:
Maaari mong gamitin ang isa sa mga sumusunod na commat para hanapin ang mga configuration file na naka-enable ngayon:
sudo nginx -T | grep -iw "configuration file"
sudo nginx -T | grep -iw "include"
Ang mga default na latas sa conf file ay:
sa RHEL-based Linux OS: /etc/nginx/conf.d/default.conf
sa Debian-based Linux OS: /etc/nginx/sites-enabled/default
Maaari mong buksan ang mga file para tingnan kung alin ang naglalaman ng kinakailangang server block. Para dito, patakbuhin ang:
sudo nano name_of_the_file
Kapag nahanap mo na ang file na naglalaman ng server block para sa pot 80 (ang default na HTTP pot), idagdag ang sumusunod na linya:
return 301 https://$server_name$request_uri;
Tataan: Ang nasabing redirect rule ay dapat ipasok bilang huling linya sa loob ng server block.
- return ang pangunahing direktiba na gagamitin.
- 301 ay permanenteng redirect (302 ang pansamantala).
- https ay isang tinukoy na scheme type (ang eksaktong isa kesa sa $scheme variable).
- $server_name variable ang gagamitin ang domain na tinukoy sa direktiba ng server_name.
- $request_uri variable ay ginagamit para tumugma sa mga path sa mga hiningi na pahina/parte ng website (lahat pagkatapos ng domain name).
Permanenteng redirect sa HTTPS
server {
listen 80;
server_name iyong_domain.com www.iyong_domain.com;
return 301 https://$server_name$request_uri;
}
Permanenteng redirect sa HTTPS non-www
server {
listen 80;
server_name iyong_domain.com www.iyong_domain.com;
return 301 https://iyong_domain.com$request_uri;
}
Permanenteng redirect sa HTTPS www
server {
listen 80;
server_name iyong_domain.com www.iyong_domain.com;
return 301 https://www.iyong_domain.com$request_uri;
}
Pansamantalang redirect sa HTTPS non-www
server {
listen 80;
server_name iyong_domain.com www.iyong_domain.com;
return 302 https://iyong_domain.com$request_uri;
}
Maaari kang makakita ng karagdagang detalye tungkol sa mga opsyon sa redirect sa Nginx dito.
- Mga Domain Name
- Magrehistroing Mga Domain
- Reseller ng Domain
- Presyo ng Domain
- Whois Lookup
- Aming Mga Produkto
- Dedicated Server
- Cloud Server
- Mga SSL Certificate
- Negosyong Email
- Profile ng Kumpanya
- Tungkol sa NiceNIC
- Balita sa Domain
- Paraan ng Pagbabayad
- Mga Kasunduan
- Suporta sa Customer
- Help Center
- Magpadala ng Ticket
- Makipag-ugnayan sa Amin
- Iulat ang Pang-aabuso