一：開始Nginx的SSL模組

1.1 Nginx如果未開啟SSL模組，配置Https時提示錯誤

原因也很簡單，nginx缺少http_ssl_module模組，編譯安裝的時候帶上--with-http_ssl_module配置就行了，但是現在的情況是我的nginx已經安裝過了，怎麼新增模組，其實也很簡單，往下看： 做個說明：我的nginx的安裝目錄是/usr/local/nginx這個目錄，我的原始碼包在/usr/local/src/nginx-1.6.2目錄

1.2 Nginx開啟SSL模組

切換到原始碼包：

檢視nginx原有的模組

在configure arguments:後面顯示的原有的configure引數如下：

那麼我們的新配置資訊就應該這樣寫：

執行上面的命令即可，等配置完

配置完成後，執行命令

這裡不要進行make install，否則就是覆蓋安裝

然後備份原有已安裝好的nginx

然後將剛剛編譯好的nginx覆蓋掉原有的nginx（這個時候nginx要停止狀態）

然後啟動nginx，仍可以通過命令檢視是否已經加入成功

Nginx 配置Http和Https共存

把ssl on；這行去掉，ssl寫在443埠後面。這樣http和https的連結都可以用

Nginx 配置SSL安全證書重啟避免輸入密碼

可以用私鑰來做這件事。生成一個解密的key檔案，替代原來key檔案。

Nginx SSL效能調優

 =============================================================================

瞭解https

HTTPS 是以安全為目標的 HTTP 通道，即 HTTP 下加入 SSL 加密層。HTTPS 不同於 HTTP 的埠，HTTP預設埠為80，HTTPS預設埠為443。

SSL 證書是一種數字證書，它使用 Secure Socket Layer 協議在瀏覽器和 Web 伺服器之間建立一條安全通道，從而實現：

1. 資料資訊在客戶端和伺服器之間的加密傳輸，保證雙方傳遞資訊的安全性，不可被第三方竊聽；
2. 使用者可以通過伺服器證書驗證他所訪問的網站是否真實可靠。

獲取SSL證書

正式使用的話肯定是付錢由CA機構給頒發合法證書；部分CA機構也提供免費證書。

可申請的CA機構舉例：
1、阿里雲
2、StartSSL

具體申請步驟請自行查閱。

內部使用可以自己生成SSL證書（這個使用者訪問會提示證書無效或過期，存在安全隱患等等，內部人用直接信任繼續訪問即可使用），一般情況下用不到。

內部生成SSL證書步驟：

# 生成一個RSA金鑰 
$ openssl genrsa -des3 -out ssltest.key 1024
 
# 拷貝一個不需要輸入密碼的金鑰檔案
$ openssl rsa -in ssltest.key -out ssltest_nopass.key
 
# 生成一個證書請求
$ openssl req -new -key ssltest.key -out ssltest.csr
 
# 自己簽發證書
$ openssl x509 -req -days 365 -in ssltest.csr -signkey ssltest.key -out ssltest.crt

第3步是生成證書請求，會提示輸入省份、城市、域名資訊等，重要的是，email一定要是你的域名字尾的。這樣就有一個 csr 檔案了，提交給 ssl 提供商的時候就是這個 csr 檔案。

當然我這裡並沒有向證書提供商申請，而是在第4步自己簽發了證書。到這裡證書就生成成功到目標目錄下，名字為ssltest.crt，還有ssltest_nopass.key，名字可以根據自己需要在生成的時候進行修改。

伺服器啟用https

以nginx伺服器示例。我們只需要在自己網站的配置檔案nginx.conf中的server端增加以下配置；

listen 443 ssl;

# ssl on;
ssl_certificate /etc/nginx/ssltest.crt;
ssl_certificate_key /etc/nginx/ssltest_nopass.key;

完整示例：

server {                                                                                                                                
    listen      443 ssl;
    listen       80; 
    server_name  52fhy.com www.52fhy.com;
    index index.php index.html index.htm;
    root /www/52fhy.com/;

    #ssl on; 
    ssl_certificate_key  /usr/local/nginx/conf/52fhy.com.key;
    ssl_certificate  /usr/local/nginx/conf/1_52fhy.com_bundle.crt;
    
    if ($scheme = http) {
    # rewrite ^(.*)$  https://$host$1 permanent;
    }   

    location ~ .*\.(php|php5)?$
    {   
        #fastcgi_pass  unix:/tmp/php-cgi.sock;
        fastcgi_pass  127.0.0.1:9000;
        fastcgi_index index.php;
        include fastcgi.conf;
    }   
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    {   
        expires 30d;
    }   
    location ~ .*\.(js|css)?$
    {   
        expires 1h; 
    }   
    
    access_log  /usr/local/nginx/log/access/52fhy.com.log;
}  

注意：這個ssl on我本來是加上的，但是發現這樣http就不能訪問了，去掉後且listen 443 ssl能同時支援http和https。listen 443 ssl表示僅443埠使用ssl。

重啟之後網站就可以用https訪問啦，同時還支援http訪問。

常見問題

網頁引入的站外資源載入不了

例如頁面引入了百度地圖的資源，開啟控制檯發現使用https後加載不了，直接block了。

原因是覽器預設是不允許在 https 裡面引用 http 資源的。

解決辦法是將http://改成相對協議//。具體使用方法為：

<img src="//domain.com/img/logo.png">

簡而言之，就是將URL的協議（http、https）去掉，只保留//及後面的內容。這樣，在使用https的網站中，瀏覽器會通過https請求URL，否則就通過http傳送請求。

當然，如果站外連結的資源不支援https還是載入不了的。這時候可以採用其它方法，如使用 iframe，或者使用nginx方向代理將https轉向http。

以下是使用騰訊用的證書和私鑰在nginx.conf中的配置

server {
        listen       443;
        server_name  xxx.com.cn;

        ssl on;
        ssl_certificate /usr/share/nginx/conf/1_xxx.com.cn_bundle.crt; 
        ssl_certificate_key /usr/share/nginx/conf/2_xxx.com.cn.key;

        ssl_session_timeout  5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

        include /etc/nginx/default.d/*.conf;

        location /r/ {
		rewrite	^/r/(.*)	/$1 break;
		proxy_pass	http://localhost:8080;
	}
 	location / {
            root   /data/ifmall/static/;
            index  index.html index.htm;
        }


        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
 }