SSL設定

NGINX SSL

1.先安裝NGINX

2.建立一個放置憑證的目錄，目錄的路徑可以自由選擇，放在哪裡都可以，而考量到這個憑證是 NGINX 專用的，所以跟 NGINX 的設定檔放在一起可能會比較好管理。

sudo mkdir /etc/nginx/ssl

3.使用 openssl 產生自行簽署的 SSL 憑證，並且將憑證的存放路徑設成剛剛上面建立的目錄：

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt

以下是這裡使用到的參數與簡略說明：

req：使用 X.509 Certificate Signing Request（CSR） Management 產生憑證。

-x509：建立自行簽署的憑證。

-nodes：不要使用密碼保護，因為這個憑證是 NGINX 伺服器要使用的，如果設定密碼的話，會讓伺服器每次在啟動時書需要輸入密碼。

-days 365：設定憑證的使用期限，單位是天，如果不想時常重新產生憑證，可以設長一點。

-newkey rsa:2048：同時產生新的 RSA 2048 位元的金鑰。

-keyout：設定金鑰儲存的位置。

-out：設定憑證儲存的位置。
這裡我們會同時建立憑證與金鑰，建立的過程中會需要填寫一些基本的資料：

Country Name (2 letter code) [AU]:TW1 State or Province Name (full name) [Some-State]:Taiwan2 Locality Name (eg, city) []:Taipei3 Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company4 Organizational Unit Name (eg, section) []:My Unit5 Common Name (e.g. server FQDN or YOUR name) []:myhost.gtwang.org6 Email Address []:[email protected]

1 國家代碼，台灣就填 TW。

2 州或省，台灣就填 Taiwan。

3 城市，例如台北就填 Taipei。

4 公司名稱。

5 部門名稱。

6 伺服器的 FQDN，這個一定要填寫正確，如果沒有申請網域名稱的話，也可以用 IP 位址替代。

7 E-mail 信箱。

填寫完成之後，憑證與金鑰的建立就完成了，而存放位置就在 /etc/nginx/ssl 目錄中。

4.設定 NGINX 伺服器，在原本的設定檔中加上 SSL 的設定，並且設定憑證與金鑰的路徑：

server { 
listen 80 default_server; 
listen [::]:80 default_server; 
# 加入 SSL 設定 
listen 443 ssl default_server; 
listen [::]:443 ssl default_server; 
# 憑證與金鑰的路徑 ssl_certificate /etc/nginx/ssl/nginx.crt; 
ssl_certificate_key 
/etc/nginx/ssl/nginx.key; 
# ... 
}

5.接著重新啟動 NGINX 伺服器：

sudo  /etc/init.d/nginx restart