获取SSL证书

第一步非常容易。进入阿里云控制台后我们很容易就能找到购买证书的地方。为了省钱，这里使用单域名DV免费版证书。下载证书得到 .pem 和 .key 文件到本地备用。

理论上来说，这之后跟着阿里云的文档在Nginx或Tengine服务器上安装证书操作就可以了。但不知道怎么的，文档里让操作的路径（/usr/local/nginx/conf）我没有。我和nginx配置沾边的东西都在 /etc/nginx 下。文档里还让我找到 /conf/nginx.conf 文件中 # HTTPS server 的配置信息，这东西在 /etc/nginx/nginx.conf 里根本不存在。

由于各种事实与教程不符，自己绕了很大弯子才弄好，可惜弄好了才发现这篇教程非常清晰靠谱，真心后悔没早看到。不过，我会把自己折腾中的坑说一说来废物利用一下，希望其过程能帮助后来者。

正确配置Nginx

首先，不用太多关注 /usr/local/nginx 的问题。我搜索到的讲 nginx 配置的文章都是基于 /etc/nginx 讲述的（推荐这篇）。不要在 /etc/nginx/nginx.conf 里面做改动。在 /etc/nginx/sites-available 里的我们网站原本的配置文件中，在server级别中加入跟 ssl 有关的信息就可以了。Nginx的官方文档中专门有配置https这么一章。里面给出的最简配置方法是这样的：

server {
    listen              443 ssl;
    server_name         www.example.com;
    ssl_certificate     www.example.com.crt;
    ssl_certificate_key www.example.com.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ...
}

这里的配置必须要结合阿里云那篇在Nginx或Tengine服务器上安装证书文档里的参数修改。最终的效果如下：

配置文件

各种参数的详细解释见官方文档。

上传SSL证书

我们的配置文件指定了ssl_certificate和ssl_certificate_key的路径。下面就需要创建 cert 文件夹，并且上传 .pem 和 .key 文件的时候了。此处差评阿里云 workbench的文件树，本地传文件死活传不上去。这里改道使用 pscp 上传文件。

我们可以用 nginx -t 命令测试当前配置是否合法并且检测自己的错误。例如如果文件上传的位置不对，就会出现这种情况：

测试配置文件

在此之后，重启nginx，检查一下ECS的443端口是否对外开放，就可以访问自己的网站试试啦。没有问题的话，地址栏左侧尴尬的 “不安全” 应该已经变成一个🔒啦。

将http重定向到https

如果不这么做，浏览器使用http访问网站的时候就会遇到ERR_CONNECTION_REFUSED的问题，然后自己在服务器上各种检查不出问题怀疑人生。

server {
    listen 80;
    server_name localhost;   #将localhost修改为您证书绑定的域名，例如：www.example.com。
    rewrite ^(.*)$ https://$host$1 permanent;   #将所有http请求通过rewrite重定向到https。
}

这些代码和ssl的那个server并排写在同一个文件里就可。

还有一些遗留问题：

为什么会有 /usr/local/nginx 这种东西？阿里云的文档里使用 nginx -s stop nginx -s start 重启服务器。但在我这里 nginx -s start 都不是合法命令。是版本不同造成的吗？
service nginx $[argument] 和 nginx -s $[argument] 参数各异，但是都能起到启动停止nginx运行的作用，通过或不通过service操作，它们的区别是什么？