摘要：通過購買免費的證書購買地址詳細操作請點擊免費申請阿里云賽門企業級鐵克證書在上面配置我們現在這里只講解在阿里云下購買的證書進行配置，現在都有了證書，現在我們來配置。

最近項目中的網站要設置https，雖然進入軟件行業6年了，配置這個還是顯得信心不足，還好網上有好多網友分享的文章可以從中學習，但是有優也有劣，憑我自己的一點經驗從中甄選出好一點的文章跟大家分享一下。

1、什么是Https?

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用于安全的HTTP數據傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司(Netscape)進行，并內置于其瀏覽器Netscape Navigator中，提供了身份驗證與加密通訊方法。現在它被廣泛用于萬維網上安全敏感的通訊，例如交易支付方面。

2、如何在Nginx下設置網站的Https?

首先，你得先安裝nginx，網上好多資料可以找到安裝的方法，我們預設服務器環境是CentOS，安裝方法請點擊，這里就不敖述了。

安裝好之后，我們需要數字證書，可以手動通過openssl生成，也可以購買，我這里講解的是從阿里云服務器免費購買的證書，下面詳細介紹下openssl。

2.1、openssl 簡介
openssl 是目前最流行的 SSL 密碼庫工具，其提供了一個通用、健壯、功能完備的工具套件，用以支持SSL/TLS 協議的實現。
官網：https://www.openssl.org/source/

2.1.1、openssl 構成部分

密碼算法庫
密鑰和證書封裝管理功能
SSL通信API接口

2.1.2、openssl 用途

建立 RSA、DH、DSA key 參數
建立 X.509 證書、證書簽名請求(CSR)和CRLs(證書回收列表)
計算消息摘要
使用各種 Cipher加密/解密
SSL/TLS 客戶端以及服務器的測試
處理S/MIME 或者加密郵件

2.2、openssl生成自簽名證書

生成 RSA 私鑰和自簽名證書

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt

req是證書請求的子命令，-newkey rsa:2048 -keyout private_key.pem 表示生成私鑰(PKCS8格式)，-nodes 表示私鑰不加密，若不帶參數將提示輸入密碼；
-x509表示輸出證書，-days365 為有效期，此后根據提示輸入證書擁有者信息；
若執行自動輸入，可使用-subj選項：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/emailAddress=yy@vivo.com"

使用 已有RSA 私鑰生成自簽名證書

openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt

-new 指生成證書請求，加上-x509 表示直接輸出證書，-key 指定私鑰文件，其余選項與上述命令相同。

2.3、通過aliyun購買免費的證書

購買地址

詳細操作請點擊免費申請阿里云 - 賽門企業級鐵克 SSL 證書！

2.4、在Nginx上面配置Https

我們現在這里只講解在阿里云下購買的證書進行配置，現在都有了證書，現在我們來配置https。我們假設你的證書是放在/usr/local/nginx/cert這個文件夾下，如下圖所示就是我的證書文件，注意，我里面還嵌套了一層文件夾：qitenai.com，你們根據需要添加：

然后我們進入文件夾：cd /usr/local/nginx/conf/下運行命令：

vim nginx.conf

查看server配置：

server {

        listen       80;
        server_name  qitenai.com;
        return       301 https://www.qitenai.com$request_uri;
        location / {
            root   /data/wwwroot/dist;//注意：這個項目我是基于vuejs的SPA項目
            #index  index.html index.htm;
            try_files $uri $uri/ /index.html;
        }
      }
      ...
      include /usr/local/nginx/conf/custom/*.conf;//注意這里
      

我們現在80端口配置沒問題，現在運行命令：

cd /usr/local/nginx/conf/custom/
vim qitenai.conf

得到如下結果：

server {
    listen 443;
    server_name qitenai.com;
    ssl_certificate   /usr/local/nginx/cert/qitenai.com/214474132640003.pem;//證書位置
    ssl_certificate_key  /usr/local/nginx/cert/qitenai.com/myserver.key;//證書私鑰位置
    location / {
        root   /data/wwwroot/dist;//注意：這個項目我是基于vuejs的SPA項目
        #index  index.html index.htm;
        try_files $uri $uri/ /index.html;
    }
}

這樣我們就配置好了nginx的https，我們瀏覽試試：

3、如何結合Nginx配置Springboot的Https?

首先，我們在springboot下的application.properties文件里配置：

server.tomcat.remote_ip_header=x-forwarded-for
server.tomcat.protocol_header=x-forwarded-proto
server.tomcat.port-header=X-Forwarded-Port
server.use-forward-headers=true
#設置服務器端口
server.port=9090

然后，我們再來配置nginx,在配置nginx我想說的是我的springboot項目是通過nohup運行的，而且這里我寫了一個自動化腳本啟動springboot項目，如下 ：

#!/bin/bash
port=9090
#根據端口號查詢對應的pid
pid=$(netstat -nlp | grep :$port | awk "{print $7}" | awk -F"/" "{ print $1 }");

echo "pid=$pid"
#殺掉對應的進程，如果pid不存在，則不執行
if [  -n  "$pid"  ];  then
    echo "正在執行kill命令..."
    if kill  -9  $pid; then
       echo "正在執行nohup命令..."
       nohup java -jar good-learning-success.jar &
       echo "執行成功"
    fi
else
   echo "找不到pid，直接運行nohup命令"
   nohup java -jar good-learning-success.jar &
   echo "執行成功"
fi
#echo "查看端口執行情況："
#netstat -auptl | grep 9090

再有一個，這個springboot項目我準備運行在api.qitenai.com這個二級域名下，所以我們必須要到域名服務器商處解析我們這個二級域名，具體實現網上也有好多文章，所以這里也不詳細講述，好了，我們來配置nginx吧，運行如下命令：

cd /usr/lcoal/nginx/conf/custom
vim api.qitenai.conf

如下所示 ：

   server {
        listen       80;
        server_name  api.qitenai.com;
        return       301 https://api.qitenai.com$request_uri;
        location / {
                proxy_pass http://127.0.0.1:9090; #這里的端口記得改成項目對應的哦
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Forwarded-Port $server_port;
        }
    }

   server {
        listen       443 ssl;
        server_name  api.qitenai.com;

        ssl_certificate      /usr/local/nginx/cert/api.qitenai.com/214474131840003.pem;//證書位置 
        ssl_certificate_key  /usr/local/nginx/cert/api.qitenai.com/214474131840003.key;//證書私鑰公交車

        location / {
                proxy_pass http://127.0.0.1:9090; #這里的端口記得改成項目對應的哦
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Forwarded-Port $server_port;
        }
    }

配置好了之后，我們重啟一下nginx,其實就是停止所有80端口，443端口會隨著80端口的停止而停止，運行如下命令：

netstat -auntpl | grep 80

[root@iZm5e8pmxwulw6lsbfzw55Z custom]# netstat -auptln | grep 80
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      15479/nginx: master
tcp        0      0 0.0.0.0:8880            0.0.0.0:*               LISTEN      13947/java
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN      13694/java
tcp        0      0 127.0.0.1:8006          0.0.0.0:*               LISTEN      13694/java
tcp        0      0 127.0.0.1:8007          0.0.0.0:*               LISTEN      13947/java
tcp        0      0 0.0.0.0:8010            0.0.0.0:*               LISTEN      13947/java
tcp      391      0 47.104.57.2:43874       106.11.68.13:80         CLOSE_WAIT  22944/AliYunDunUpda
tcp      391      0 47.104.57.2:51732       106.11.68.13:80         CLOSE_WAIT  22944/AliYunDunUpda
tcp        0      0 47.104.57.2:36142       106.11.68.13:80         ESTABLISHED 22995/AliYunDun
udp        0      0 10.80.186.137:123       0.0.0.0:*                           1165/ntpd
[root@iZm5e8pmxwulw6lsbfzw55Z custom]#kill -9 15479

再運行命令：kill -9 15479之后，再次運行命令：netstat -auptln | grep 80查看還有沒有80端口有沒有Kill掉，如果有繼續kill，如果沒有，我們就運行如下命令重啟nginx：

cd /usr/local/nginx/sbin
./nginx

然后打開域名https://api.qitenai.com，查看是否成功：

4、如何配置Qiniu的Https?

我們知道，注冊了七牛服務后，會有個默認的域名給你訪問資源文件，所以要配置https我們先換成我們的域名，這里我們設置域名為cdn.qitenai.com，之后，我們在七牛管理頁面下進行配置，在配置之前我們先要上傳證書，這里我們上傳在阿里云里面購買的免費證書，注意：阿里云購買的證書是一個域名對應一個證書文件，所以像我這里要購買三次，這個一定要注意！！！

上傳之后，我們現在來配置域名：

配置一下即可，記住，要選擇我們剛剛上傳的證書，最后就是配置cname了，進入你的域名服務器進入解析即可，詳情請點擊如何配置域名的 CNAME

這樣就完成了七牛https的配置，查看效果如圖：

5、問題

5.1、如何讓http跳轉到https？如何讓http://example.com跳轉到https://www.example.com
解決方法：

server {

        listen       80;
        server_name  www.qitenai.com qitenai.com;
        return       301 https://www.qitenai.com$request_uri;
        location / {
            root   /data/wwwroot/dist;
            #index  index.html index.htm;
            try_files $uri $uri/ /index.html;
        }
}
server {
    listen 443 default_server ssl;
    server_name www.qitenai.com;
    ssl_certificate   /usr/local/nginx/cert/qitenai.com/214474132640003.pem;
    ssl_certificate_key  /usr/local/nginx/cert/qitenai.com/myserver.key;
    location / {
        root   /data/wwwroot/dist;
        #index  index.html index.htm;
        try_files $uri $uri/ /index.html;
    }
}
server {
    listen 443;
    server_name qitenai.com;
    return       301 https://www.qitenai.com$request_uri;
    ssl_certificate   /usr/local/nginx/cert/qitenai.com/214474132640003.pem;
    ssl_certificate_key  /usr/local/nginx/cert/qitenai.com/myserver.key;
    location / {
        root   /data/wwwroot/dist;
        #index  index.html index.htm;
        try_files $uri $uri/ /index.html;
    }
}

5.2、同一個域名不同的端口沒有設置https如何訪問？

沒有辦法因為你沒有設置https，所以只能通過http訪問，實際上這種情況還是很多的，比如有些項目使用的nginx，有些只使用tomcat，而tomcat項目是測試的，所以沒有配置https很正常。

如果你有問題可以加我的qq群向我提問：464696550
參考文章：
1、Spring Boot學習筆記-Nginx+Jar包部署項目
2、SpringBoot+Nginx+Https下redirect問題
3、Nginx + Tomcat + HTTPS 配置不需要在 Tomcat 上啟用 SSL 支持
4、Nginx配置多個HTTPS域名的方法
5、使用 openssl 生成證書
6、阿里云ecs 服務器配置 nginx https
7、為nginx配置https并自簽名證書
8、Nginx搭建HTTPS服務器--自簽證書
9、Nginx+Https配置
10、主流數字證書都有哪些格式？
11、使用Spring Boot開發Web項目(二)之添加HTTPS支持
12、nginx https下不帶www跳轉www設置
13、Nginx 不帶www的https域名 301跳轉到帶www的方法
14、Nginx服務器中HTTP 301跳轉到帶www的域名的方法
15、A redirect to a main site
16、Spring Boot中啟動HTTPS
17、Nginx+Https配置