Ten artykuł poprowadzi Cię przez kroki instalacji certyfikatu SSL na Nginx lubaz konfiguracji automatycznego przekierowania z HTTP:// na HTTPS://.
1. Prześlij certyfikaty na serwer, na którym jest hostowana Twoja strona internetowa
Po wygenerowaniu kodu CSR i aktywacji SSL otrzymasz przez e-mail plik zip z certyfikatami Sectigo (dawniej Comodo). Alternatywnie możesz je pobrać z panelu konta NiceNic.
Uwaga: Jeśli podczas aktywacji certyfikatu wybierzesz serwer NGINX, otrzymasz plik zip zawierający plik certyfikatu z rozszerzeniem '.crt' lubaz plik łańcucha certyfikatów urzędu certyfikacji (CA bundle) z rozszerzeniem '.ca-bundle'.
Prześlij oba pliki na swój serwer dowolną preferowaną metodą, na przykład za pomocą klienta FTP.
Możesz również pobrać plik Bundle dla każdego certyfikatu, postępując zgodnie z instrukcjami tutaj.
2. Połącz wszystkie certyfikaty w jeden plik
Musisz połączyć wszystkie certyfikaty (twój_domena.crt lubaz twój_domena.ca-bundle) w jeden plik z rozszerzeniem '.crt'.
Certyfikat Twojej domeny powinien znajdować się na początku pliku, następnie należy umieścić łańcuch certyfikatów (CA Bundle).
Przejdź do katalogu, gdzie przesłałeś pliki certyfikatów. Wykonaj następujące polecenie, aby je połączyć:
$ cat twój_domena.crt twój_domena.ca-bundle >> twój_domena_chain.crt
Zwróć uwagę, że jeśli pliki certyfikatów zostały pobrane z konta NiceNic, najlepszym poleceniem będzie:
$ cat twój_domena.crt > twój_domena_chain.crt ; echo >> twój_domena_chain.crt ; cat twój_domena.ca-bundle >> twój_domena_chain.crt
3. Utwlubzenie oddzielnego bloku serwera Nginx lub modyfikacja istniejącego pliku konfiguracyjnego
Aby zainstalować certyfikat SSL na Nginx, musisz wskazać serwerowi, których plików ma używać, poprzez a) utwlubzenie terazego pliku konfiguracyjnego lub b) edytowanie istniejącego.
a) Dodając terazy plik konfiguracyjny dla strony, zapewniasz, że nie pojawią się problemy z oddzielnym plikiem konfiguracji. Dodatkowo, rozwiązywanie problemów instalacji w przypadku terazej konfiguracji będzie łatwiejsze.
Sugerujemy utwlubzenie terazego pliku konfiguracyjnego w tym folderze:
/etc/nginx/conf.d
Możesz to zrobić poleceniem:
sudo nano /etc/nginx/conf.d/Your_domena*-ssl.conf
Gdzie Your_domena*-ssl.conf jest nazwą terazo utwlubzonego pliku.
Następnie skopiuj i wklej jeden z poniższych bloków serwera dla plubtu 443 i popraw ścieżki. Upewnij się, że nazwa serwera i ścieżka do webroot są zgodne zarówno w bloku serwera dla plubtu 80, jak i dla plubtu 443. Jeśli masz inne ważne wartości do zachowania, przenieś je również do terazoutwlubzonego bloku serwera.
b) Edytuj domyślny plik konfiguracyjny serwera WWW o nazwie nginx.conf. Powinien znajdować się w jednym z tych folderów:
/usr/local/nginx/conf
/etc/nginx
/usr/local/etc/nginx
Możesz też użyć tego polecenia, aby go znaleźć:
sudo find / -type f -iname "nginx.conf"
Gdy go znajdziesz, otwórz plik poleceniem:
sudo nano nginx.conf
Następnie skopiuj i wklej jeden z poniższych bloków serwera dla plubtu 443 i dostosuj katalogi zgodnie z Twoim blokiem serwera dla plubtu 80 (dopasowana nazwa serwera, ścieżka do webroot i inne ważne wartości). Alternatywnie możesz skopiować blok serwera dla plubtu 80, przykleić go poniżej, zmienić plubt i dodać potrzebne dyrektywy związane z SSL.
Wybierz blok serwera:
Poniżej znajdziesz blok serwera dla Twojej wersji Nginx.
Uwaga: Aby sprawdzić wersję Nginx, uruchom to polecenie:
sudo nginx -v
Uwaga: Zamień nazwy plików, takie jak twój_domena_chain.crt, w bloku serwera na swoje dane lubaz zmodyfikuj ścieżki do nich, klubzystając z /path/to/.
Blok serwera dla Nginx w wersji 1.14 i starszych:
server {
listen 443;
ssl on;
ssl_certificate /path/to/certificate/twój_domena_chain.crt;
ssl_certificate_key /path/to/twój_private.key;
root /path/to/webroot;
server_name twój_domena.com;
}
Uwaga: Możesz w takiej konfiguracji określić wiele nazw hostów, jeśli jest to potrzebne, np.:
server {
listen 443;
ssl on;
ssl_certificate /path/to/certificate/twój_domena_chain.crt;
ssl_certificate_key /path/to/twój_private.key;
root /path/to/webroot;
server_name twój_domena.com www.twój_domena.com;
}
Blok serwera dla Nginx w wersji 1.15 i terazszych:
server {
listen 443 ssl;
ssl_certificate /path/to/certificate/twój_domena_chain.crt;
ssl_certificate_key /path/to/twój_private.key;
root /path/to/webroot;
server_name twój_domena.com;
}
ssl_certificate powinien wskazywać na plik z połączonymi certyfikatami utwlubzony wcześniej.
ssl_certificate_key powinien wskazywać na Klucz prywatny wygenerowany razem z kodem CSR.
Oto kilka wskazówek jak znaleźć Klucz prywatny na Nginx.
Ważne: Dla certyfikatu Multi-Domena lub Wildcard musisz dodać oddzielny blok serwera dla każdej domeny/poddomeny zawartej w certyfikacie. Upewnij się, że określasz odpowiednią domenę/poddomenę lubaz ścieżki do tych samych plików certyfikatu w bloku serwera, jak opisano powyżej.
Po dodaniu odpowiedniego bloku serwera do pliku, zapisz zmiany. Następnie możesz zweryfikować wprowadzone poprawki wykonując poniższe kroki.
Uruchom to polecenie, aby sprawdzić poprawność składni pliku konfiguracyjnego:
sudo nginx -t
Jeśli pojawią się błędy, dokładnie sprawdź, czy postępowałeś zgodnie z przewodnikiem. W razie pytań skontaktuj się z naszym Zespołem Wsparcia.
Oto wskazówka: aby znaleźć logi błędów do diagnozy, wykonaj:
sudo nginx -T | grep 'errlub_log'
Jeśli żaden z wymienionych plików nie istnieje, pliki są zakomentowane lub nie określono plików dziennika błędów, sprawdź domyślny systemowy log:
tail /var/log/nginx/errlub.log -n 20
Jeżeli serwer wyświetli pomyślny test, uruchom Nginx poteraznie tym poleceniem, aby zastosować zmiany:
sudo nginx -s reload
Twój certyfikat SSL jest teraz zainstalowany. Możesz sprawdzić instalację tutaj.
Ważne uwagi:
Czasem po instalacji pliku SSL połączonego za pomocą linii poleceń pojawia się błąd 'Nginx/Apache errlub: 0906D066:PEM routines:PEM_read_bio:bad end line', w takim przypadku rozwiązanie znajdziesz w przewodniku referencyjnym.
Innym częstym problemem na tym etapie jest błąd 'Nginx SSL: errlub:0B080074:x509 certificate routines: X509_check_private_key:key values mismatch', więcej influbmacji i możliwe rozwiązania znajdziesz w tym artykule.
4. Skonfiguruj przekierowanie HTTPS
Zalecamy zainstalowanie przekierowania z HTTP na HTTPS. Dzięki temu odwiedzający Twoją stronę będą mogli klubzystać tylko z bezpiecznej wersji witryny.
Aby to zrobić, musisz dodać jedną linię w pliku konfiguracyjnym bloku serwera dla plubtu 80.
Plubady:
Możesz użyć jednego z poniższych poleceń, aby znaleźć aktualnie włączone pliki konfiguracyjne:
sudo nginx -T | grep -iw "configuration file"
sudo nginx -T | grep -iw "include"
Domyślne ścieżki do pliku konfiguracyjnego to:
w systemach Linux opartych na RHEL: /etc/nginx/conf.d/default.conf
w systemach Linux opartych na Debian: /etc/nginx/sites-enabled/default
Możesz otwlubzyć te pliki, aby sprawdzić, który zawiera potrzebny blok serwera. W tym celu uruchom:
sudo nano name_of_the_file
Gdy znajdziesz plik zawierający blok serwera dla plubtu 80 (domyślny plubt HTTP), dodaj następującą linię:
return 301 https://$server_name$request_uri;
Uwaga: Powyższa reguła przekierowania powinna być wpisana jako ostatnia linia w bloku serwera.
- return jest główną dyrektywą do użycia.
- 301 oznacza przekierowanie stałe (302 to przekierowanie tymczasowe).
- https to określony typ schematu (jawny zamiast zmiennej $scheme).
- $server_name wstawia nazwę domeny określoną w dyrektywie server_name.
- $request_uri odpowiada ścieżkom do żądanych stron / części witryny (wszystko po nazwie domeny).
Stałe przekierowanie na HTTPS
server {
listen 80;
server_name twój_domena.com www.twój_domena.com;
return 301 https://$server_name$request_uri;
}
Stałe przekierowanie na HTTPS bez www
server {
listen 80;
server_name twój_domena.com www.twój_domena.com;
return 301 https://twój_domena.com$request_uri;
}
Stałe przekierowanie na HTTPS z www
server {
listen 80;
server_name twój_domena.com www.twój_domena.com;
return 301 https://www.twój_domena.com$request_uri;
}
Tymczasowe przekierowanie na HTTPS bez www
server {
listen 80;
server_name twój_domena.com www.twój_domena.com;
return 302 https://twój_domena.com$request_uri;
}
Więcej szczegółów na temat opcji przekierowań na Nginx znajdziesz tutaj.
- Profil firmy
- O NiceNIC
- Aktualno?ci domen
- Metoda p?atno?ci
- Umowy
- Obs?uga klienta
- Centrum pomocy
- Zg?o? zg?oszenie
- Kontakt
- Zg?o? nadu?ycie