LNMP安装包如何手动安装阿里云SSL证书？

西南小白 · 发表于 2020-3-25 11:36:41

管理员大大，很抱歉，想要麻烦您看看我的问题。我的问题如下：

我已经按教程一步步安装好了LNMP，并配置了虚拟主机，但我并没有选择让它自动生成SSL。因为我在阿里云购买的服务中，已经申请了免费SSL（品牌为symantec）。所以我想把阿里云SSL安装上去。

我在安装时参考的教程是阿里云官方教程，地址如下：https://help.aliyun.com/document_detail/98728.html?spm=5176.2020520163.0.0.54a056a7AS1hy7

该教程前部分是指导主机安装SSL，后部分则是指导虚拟主机安装SSL。我是按照主机部分，直接修改了nginx.conf文件，并上传了证书。但是重启LNMP之后，还是没起作用。

修改后的nginx.conf的格式如下：

user  www www;

worker_processes auto;
worker_cpu_affinity auto;

error_log  /home/wwwlogs/nginx_error.log  crit;

pid       /usr/local/nginx/logs/nginx.pid;

#Specifies the value for maximum file descriptors that can be opened by this process.
worker_rlimit_nofile 51200;

events
{
      use epoll;
      worker_connections 51200;
      multi_accept off;
      accept_mutex off;
}

http
{
      include    mime.types;
      default_type  application/octet-stream;

      server_names_hash_bucket_size 128;
      client_header_buffer_size 32k;
      large_client_header_buffers 4 32k;
      client_max_body_size 50m;

      sendfile on;
      sendfile_max_chunk 512k;
      tcp_nopush on;

      keepalive_timeout 60;

      tcp_nodelay on;

      fastcgi_connect_timeout 300;
      fastcgi_send_timeout 300;
      fastcgi_read_timeout 300;
      fastcgi_buffer_size 64k;
      fastcgi_buffers 4 64k;
      fastcgi_busy_buffers_size 128k;
      fastcgi_temp_file_write_size 256k;

      gzip on;
      gzip_min_length  1k;
      gzip_buffers    4 16k;
      gzip_http_version 1.1;
      gzip_comp_level 2;
      gzip_types    text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/xml+rss;
      gzip_vary on;
      gzip_proxied expired no-cache no-store private auth;
      gzip_disable "MSIE [1-6]\.";

      #limit_conn_zone $binary_remote_addr zone=perip:10m;
      ##If enable limit_conn_zone,add "limit_conn perip 10;" to server section.

      server_tokens off;
      access_log off;

server
{
      listen 80 default_server reuseport;
      #listen [::]:80 default_server ipv6only=on;
      server_name _;
      index index.html index.htm index.php;
      root  /home/wwwroot/default;

      #error_page 404 /404.html;

      # Deny access to PHP files in specific directory
      #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; }

      include enable-php.conf;

      location /nginx_status
      {
         stub_status on;
         access_log off;
      }

      location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
      {
         expires    30d;
      }

      location ~ .*\.(js|css)?$
      {
         expires    12h;
      }

      location ~ /.well-known {
         allow all;
      }

      location ~ /\.
      {
         deny all;
      }

      access_log  /home/wwwlogs/access.log;
}

#以上部分是系统原有内容，没有做任何修改；以下一段是阿里云添加SSL教程
# 以下属性中以ssl开头的属性代表与证书配置有关，其他属性请根据自己的需要进行配置。
server {
listen 443 ssl; #SSL协议访问端口号为443。此处如未添加ssl，可能会造成Nginx无法启动。
server_name localhost;  #将localhost修改为您证书绑定的域名。
root html;
index index.html index.htm;
ssl_certificate cert/domain name.pem; #将domain name.pem替换成您证书的文件名。
ssl_certificate_key cert/domain name.key; #将domain name.key替换成您证书的密钥文件名。
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;  #使用此加密套件。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #使用该协议进行配置。
ssl_prefer_server_ciphers on;
location / {
root html; #站点目录。
index index.html index.htm;
}
}
#教程结束

include vhost/*.conf;
}

#设置HTTPS转发
server {
listen 80;
server_name localhost; #将localhost修改为您证书绑定的域名，例如：www.example.com。
rewrite ^(.*)$ https://$host$1 permanent; #将所有http请求通过rewrite重定向到https。
location / {
index index.html index.htm;
}
}
#转发结束

这里面有几个小问题：
第一，root路径到底是“html”，还是“/home/wwwroot/default”，还是“/home/wwwroor/域名”呢？
第二，我添加SSL和HTTPS转发的方式对吗？有什么细节需要注意呢？
第三，LNMP安装中的虚拟主机是一个什么概念呢？因为我看很多CSDN手动安装LNMP的教程，里面没有设置虚拟主机一步。这个虚拟主机和阿里云教程里的虚拟主机是一回事吗？

以上是我自行安装SSL遇到的问题，还请管理员大大解惑。非常感谢！

因为是纯小白，如果问题问得太愚蠢，也请见谅！

licess · 发表于 2020-3-25 13:49:27

不完全明白的话不要自己添加配置文件，添加虚拟主机使用 lnmp vhost add ，已经添加过的域名再添加SSL的话使用 lnmp ssl add 按提示操作就行了，自备证书也都支持
root是网站根目录
那是301跳转不是https转发
一个虚拟主机就相当于一个或多个域名组成的网站

西南小白 · 发表于 2020-3-25 22:48:32

licess 发表于 2020-3-25 13:49
不完全明白的话不要自己添加配置文件，添加虚拟主机使用 lnmp vhost add ，已经添加过的域名再添加SSL的话 ...

非常感谢管理员大大的慷慨帮助！我已经参考您的回复解决了这个问题！

西南小白 · 发表于 2020-3-25 23:00:44

这里总结一下问题解决流程，以帮助其他和我类似的小白博主。

如果你已经有了自己的SSL证书，不想用一键安装包自己的证书，那么请按照以下方式安装：

一、首先安装LNMP一键安装包，耗时大概半小时；
二、安装完成后，利用SCP指令，把本地的SSL证书压缩包上传到服务器（自己指定一个文件夹作为上传位置），上传之后解压，会得到PEM和KEY两个文件。然后删除压缩包。
二、然后，输入lnmp vhost add指令添加虚拟主机；
三、按照提示一步步操作，直到让你确认SSL证书安装方式。脚本提示有两种安装，一种是你提供SSL证书；一种是让脚本自动生成。这里我们选择1，自己添加SSL证书。
四、选择1之后，脚本让你输入SSL证书的存放地址，我们就把刚刚上传的PEM和KEY的具体地址填好就行了。
五、之后，系统会自动开始编写对应的配置文件，如果提示成功，那么，此时你在浏览器输入https://你的域名，就可以看到网站有个安全锁了。那么SSL证书安装就已经成功。
六、SSL证书安装成功还没结束，因为当我们输入www.域名.cn时，它默认是http，而不是https，所以我们要再做一个自动转发，把http转发为https。
七、为了转发https，我们找到/usr/local/nginx/conf/vhost/域名.conf文件，用VIM打开，然后在server 80端口后面，做如下修改：

server {
listen 80;
server_name www.你的域名.cn;
return 301 https://www.你的域名.cn$request_uri; #只加上这一行
}

然后保存，退出，并重启lnmp套件，指令为lnmp restart。

然后，在浏览器输入你的域名，你会发现它自动跳转成了https://你的域名，那么这就成功了。

		自动登录	找回密码
密码			注册