## 如何設置SSL/HTTPS？ 在設置https訪問之前，請開啟安全組的443端口，如果不開啟，https訪問是不可用的。 這里提供兩種https的配置方案，請根據實際情況選擇： ## 配置方式一：自己準備好了證書 如果您已經申請了證書（請保證證書可用），請參考如下的配置方式： 1. 將證書上傳到服務器證書目錄：/data/cert（沒有cert目錄可以自己新建） 2. 在/etc/nginx/conf.d目錄打開需要配置https的網站的所對應的配置文件，例如：default.conf 3. 拷貝下面內容到default.conf文件中（一定要放到最后的}之外），并保存 ``` listen 443 ssl; ssl on; ssl_certificate /data/cert/xxx.crt; ssl_certificate_key /data/cert/xxx.key ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; ssl_prefer_server_ciphers if ($scheme != "https") { return 301 https://$host$request_uri; } ``` 4. 修改配置文件中相關項，并保存ssl_certificate #證書，務必填寫網站實際路徑 ssl_certificate_key #證書Key，務必填寫網站實際路徑 5. 重啟服務 ``` ~# systemctl restart nginx //重啟nginx ~# systemctl restart php-fpm //重啟php-fpm ``` ## 配置方式二：自動生成免費證書 本LNMP環境提供了針對于已經配置好的http網站實現免費的證書自動生成方式，從而實現https訪問的解決方案。步驟如下： 1. 首先假設通過 http://域名/ 可以正常訪問網站（假設域名是test.websoft9.cn，配置文件vhost.conf） 2. 運行certbot命令開始為網站配置證書 3. 運行成功會有提示 注：當前Cerbot官方提示此插件暫停使用 --- ## 證書FAQ 證書的申請注意事項： * 免費證書只能用于明細域名,例如: buy.example.com,或next.buy.example.com, * example.com是通配符域名方式，不能用于申請免費證書 * 申請證書的時候，請先解析好域名，有些證書會綁定域名對應的IP地址，即一旦申請后，IP地址不能更換，否則證書不可用