摘要：是一款輕量級(jí)的服務(wù)器反向代理服務(wù)器及電子郵件代理服務(wù)器，并在一個(gè)協(xié)議下發(fā)行。表明它使用了，但存在不同于的默認(rèn)端口及一個(gè)加密身份驗(yàn)證層在與之間?，F(xiàn)在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付方面。

Nginx是一款輕量級(jí)的Web 服務(wù)器/反向代理服務(wù)器及電子郵件（IMAP/POP3）代理服務(wù)器，并在一個(gè)BSD-like 協(xié)議下發(fā)行。其特點(diǎn)是占有內(nèi)存少，并發(fā)能力強(qiáng)，事實(shí)上nginx的并發(fā)能力確實(shí)在同類(lèi)型的網(wǎng)頁(yè)服務(wù)器中表現(xiàn)較好，中國(guó)大陸使用nginx網(wǎng)站用戶(hù)有：百度、京東、新浪、網(wǎng)易、騰訊、淘寶等。

HTTPS（全稱(chēng)：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個(gè)URI scheme（抽象標(biāo)識(shí)符體系），句法類(lèi)同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司(Netscape)進(jìn)行，并內(nèi)置于其瀏覽器Netscape Navigator中，提供了身份驗(yàn)證與加密通訊方法?，F(xiàn)在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付方面。

## 準(zhǔn)備基本的東西
yum install gcc-c++
yum -y install pcre*
yum -y install openssl*

## 把下載文件、站點(diǎn)數(shù)據(jù)都放到 home 文件夾里面

## 先下載 Nginx，目前最新穩(wěn)定版本是1.12.2

wget http://nginx.org/download/nginx-1.12.2.tar.gz

## 解壓壓縮包
tar -zxvf nginx-1.12.2.tar.gz

## 進(jìn)入文件夾，準(zhǔn)備安裝
cd nginx-1.12.2

## 設(shè)置安裝目錄為 /usr/local/nginx
## 因?yàn)橐褂胹sl 所以需要以下額外的模塊

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

## 如果沒(méi)有報(bào)錯(cuò)，開(kāi)始編譯安裝
make

## make 這步可能會(huì)報(bào)錯(cuò)
## ./configure: error: SSL modules require the OpenSSL library.
## 再安裝一些東西
## yum -y install openssl openssl-devel

## 安裝
make install

## 啟動(dòng)nginx服務(wù)
cd /usr/local/nginx/sbin
./nginx

## 先搞一個(gè)簡(jiǎn)單的服務(wù)吧
## 在 home 文件夾下面搞

cd /home
mkdir wwwroot
cd wwwroot
mkdir www.onlyling.com

## 把站點(diǎn)程序放到 `www.onlyling.com` 文件夾
## 程序啟動(dòng)占用 3000 端口好
## 靜態(tài)資源目錄 /home/wwwroot/www.onlyling.com/app/public

## 修改 nginx.conf ，一般情況使用軟連的方式，但還是不太懂，直接修改默認(rèn)的配置
cd /usr/local/nginx/conf
vi nginx.conf

## 簡(jiǎn)單的配置一個(gè) http 服務(wù)
## 參考了 Thinkjs 線上部署使用 Nginx 的代碼
## https://thinkjs.org/zh-cn/doc/3.0/deploy.html 
server {
    listen       80;
    server_name  www.onlyling.com;
    root /home/wwwroot/www.onlyling.com/app/public;
    
    set $node_port 3000;
    location / {
        proxy_http_version 1.1;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_pass http://127.0.0.1:$node_port$request_uri;
        proxy_redirect off;
        root   html;
        index  index.html index.htm;
    }
}

## 保存好后重啟
## 沒(méi)有配置別名，嗯，有點(diǎn)長(zhǎng)
/usr/local/nginx/sbin/nginx -s reload

## www.onlyling.com 解析到服務(wù)器，應(yīng)該就可以訪問(wèn)這個(gè)站點(diǎn)了

這次證書(shū)是自己搞的，用的是 acme.sh 查看倉(cāng)庫(kù)，可以實(shí)現(xiàn)每60天自動(dòng)更新一次證書(shū)，很棒哦。

## 按照文檔提示安裝
## 安裝的時(shí)候會(huì)提示安裝另一個(gè)服務(wù)器程序，我們用 Nginx 了，所以不需要
curl  https://get.acme.sh | sh

## 驗(yàn)證身份、生成證書(shū)
## 驗(yàn)證身份其實(shí)就是在站點(diǎn)生成一個(gè)文件，通過(guò)域名訪問(wèn)文件，有就通過(guò)
## 所以后面的目錄指定到了站點(diǎn)的靜態(tài)資源文件(反正我的程序里就把 public 設(shè)置成根目錄)
acme.sh  --issue  -d www.onlyling --webroot  /home/wwwroot/www.onlyling.com/app/public

## 等待一分鐘左右吧
## 生成了蠻多的文件

## 復(fù)制證書(shū)
## 可能會(huì)提示沒(méi)有文件夾，手動(dòng)按目錄創(chuàng)建
## 但是最后一步，我沒(méi)有執(zhí)行成功，就手動(dòng)配置了
## 證書(shū)已經(jīng)復(fù)制到了 /etc/nginx/ssl 文件夾
acme.sh  --installcert  -d  .com   
        --key-file   /etc/nginx/ssl/.key 
        --fullchain-file /etc/nginx/ssl/fullchain.cer 
        --reloadcmd  "service nginx force-reload"

cd /usr/local/nginx/conf
vi nginx.conf

## 在剛剛配置 http 那里添加一個(gè) https 服務(wù)
server {
    listen 443 ssl;
    server_name www.onlyling.com;
    root /home/wwwroot/www.onlyling.com/app/public;
    set $node_port 3000;

    ssl_certificate /etc/nginx/ssl/fullchain.cer;
    ssl_certificate_key /etc/nginx/ssl/www.onlyling.com.key;

    keepalive_timeout   70;
    fastcgi_param   HTTPS               on;
    fastcgi_param   HTTP_SCHEME         https;
    server_tokens off;

    location / {
        proxy_http_version 1.1;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_pass http://127.0.0.1:$node_port$request_uri;
        proxy_redirect off;
        root   html;
        index  index.html index.htm;
    }
}

## 如果只想開(kāi)啟 https
## 在 http 配置處添加
## rewrite ^ https://$http_host$request_uri? permanent;

## 重啟 Nginx 服務(wù)
## 大概、應(yīng)該、可能就搞定了
## 唯一不確定的是 acme.sh 能否自動(dòng)更新，畢竟沒(méi)有按照它的步驟走下去

原文閱讀：從零開(kāi)始配置 Nginx + HTTPS