生成证书与密钥

cd /etc/pki/tls/certs/
$ sudo make phpmyadmin.crt
[sudo] password for user01: 
umask 77 ; \
	/usr/bin/openssl genrsa -aes128 2048 > phpmyadmin.key
Generating RSA private key, 2048 bit long modulus
........................................................................................+++
.....+++
e is 65537 (0x10001)
Enter pass phrase:
Verifying - Enter pass phrase:
umask 77 ; \
	/usr/bin/openssl req -utf8 -new -key phpmyadmin.key -x509 -days 365 -out phpmyadmin.crt -set_serial 0
Enter pass phrase for phpmyadmin.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:ShangHai
Locality Name (eg, city) [Default City]:ShangHai
Organization Name (eg, company) [Default Company Ltd]:Qiai IS Corp.
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:sai@qiais.com
$ ls

此命令会在/etc/pki/tls/certs下生成phpmyadmin.crt与phpmyadmin.key文件。
此步骤中
Enter pass phrase:
要求设置证书密码，请记住此密码，因为下面要用到。

将 phpmyadmin.key 移动到 /etc/pki/tls/private/

$ sudo mv phpmyadmin.key /etc/pki/tls/private/
[/code/

配置到nginx

1
server {
    listen       443 ssl;
    server_name  localhost;

    client_max_body_size 8M;

    ssl_certificate      /etc/pki/tls/certs/phpmyadmin.crt;
    ssl_certificate_key  /etc/pki/tls/private/phpmyadmin.key;

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers   on;

    location / {
        root   /home/sai/public_html/phpmyadmin;
        index  index.php;
    }

    location ~ \.php$ {
        root           /home/user01/public_html;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }
}

server_name localhost;此处localhost换成自己的域名，例如，phpmyadmin.example.com
root /home/user01/public_html;为phpmyadmin的目录
listen 443 ssl;监听ssl端口 443，同时不要忘了在iptables中打开443端口

从新启动nginx, 这里会要求输入证书生成时的密码。

$ sudo /etc/rc.d/init.d/nginx restart
Enter PEM pass phrase:
Stopping nginx:                                            [  OK  ]
Starting nginx: Enter PEM pass phrase:
                                                           [  OK  ]
$ cd /etc/pk

每次启动nginx都需要输入ssl证书密码的话比较烦人，我们将key的pass phrase删除掉，这样重启时就不需要输入le。

$ cd /etc/pki/tls/private/
$ ls
phpmyadmin.key
$ sudo cp phpmyadmin.key phpmyadmin.key.bak
$ sudo openssl rsa -in phpmyadmin.key -out phpmyadmin.key
Enter pass phrase for phpmyadmin.key:
writing RSA key
$

通过https访问我们的站点，可以看到如下界面，不用在意https处的横杠与错号，因为这是我们自己发行的SSL证书。

http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
 
    server {
        client_max_body_size 20M;
        listen       80;
        server_name  localhost;
 
        # Main location
        location / {
            proxy_pass         http://127.0.0.1:8000/;
        }
    }
}

就像大家所知道的那样，我们的站点有时候需要需要用户登录，注册，或者填写咨询表单，

为了保护用户的隐私，我们需要将用户递交的信息进行加密，这样即使信息被截，

由于数据被加密，产生信息泄漏的可能性大大降低。

今天将讨论如何在CentOS上安装配置SSL网站服务器。

制作生成CSR（Certificate Signing Request）

进入/etc/nginx/conf.d

# cd /etc/nginx/conf.d 

为了方便管理，将相关的密码，密钥文件放到同一文件夹下

# mkdir example.com 
# cd example.com

生成密钥文件

# openssl genrsa -des3 -out ./example.key 2048

这里采用2048bit位加密，根据服务商的要求不同，也有1024bit位的，视情况而定。

CSR文件生成

# openssl req -new -key ./example.key -out ./example.csr

指定CSR信息

Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Shanghai
Locality Name (eg, city) []:Pudongxinqu
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Qiai Co.,Ltd.
Organizational Unit Name (eg, section) []:Development
Common Name (eg, YOUR name) []:www.qiais.com
Email Address []:
A challenge password []:
An optional company name []:

查看确认CSR信息

# cat ./ssl.csr/domainname.csr
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

一般来说，我们只需要将上述内容提供给SSL服务商，他们就会根据此密钥文件

生成密码文件。

2.申请SSL服务器认证

接下来，我们从SSL服务上哪里获得SSL认证用的证明文件，内容类似如下

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

我们将其保存在/etc/nginx/conf.d/example.com/example.crt文件中。

如果从服务商哪里还有中间证明文件的话，我们将其保存在/etc/nginx/conf.d/example.com/ca.crt文件中
中间证明文件类似于以上文件：

3.Nginx 上配置SSL

如果有中间认证文件的话，我们需要将中间认证文件内容拷贝到证明文件

# cat example.crt ca.crt > cert.crt

设置/etc/nginx/conf.d/ssl.conf

# vi /etc/nginx/conf.d/ssl.conf

#
# HTTPS server configuration
#

server {
    listen       443;
    server_name  shimbun4946nakano.com;

    ssl                  on;
#    ssl_certificate      cert.pem;
     ssl_certificate      /etc/nginx/conf.d/example.com/cert.crt;
#    ssl_certificate_key  cert.key;
     ssl_certificate_key  /etc/nginx/conf.d/example.com/example.key;

    ssl_session_timeout  5m;

    ssl_protocols  SSLv2 SSLv3 TLSv1;
    ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers   on;

    location / {
        root   /var/www/html;
        index  index.php index.html index.htm;
    }

    error_page  404              /404.html;
    location = /404.html {
        root   /var/www/html;
    }

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /var/www/html;
    }

    # proxy the PHP scripts to Apache listening on 127.0.0.1:80
    #
    #location ~ \.php$ {
    #    proxy_pass   http://127.0.0.1;
    #}

    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    #
    location ~ \.php$ {
        root           /var/www/html;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }
}

4. 解除服务器重启密码

以上设置SSL的key时设置了密码，nginx重新启动时需要输入密码，这有时候不方便，特别是在我们重新启动服务器（硬件），这个时候我们没法输入key的密码，而导致我们的nginx不能启动。

# cp example.key example.key.bak 
# openssl rsa -in example.key -out example.key

5. 访问https://example.com

没有错误的话，在URL栏会看到像锁一样的图标，那就表示SSL服务器安装成功。

如果是Apache服务器，我们通过虚拟主机或者UserDir，可以很简单的实现上述要求，

在Nginx，没有虚拟主机与UserDir的概念，但这些功能可以通过Location匹配来实现。

注意，centos6.5的nginx的配置文件在/etc/nginx/nginx.conf，它包含引进所有/etc/nginx/conf.d/*.conf文件

1. 实现UserDir功能

假设我们有域名 qiais.com, 我们的网站主程序正在使用此域名，

另外，我们还想通过 http://qiais.com/phpmyadmin 来管理我们的数据库

我们可以通过以下配置来实现

# vi /etc/nginx/conf.d/default.conf 

#
# The default server
#
server {
    listen       80 default_server;
    server_name  qiais.com;

    #charset koi8-r;

    #access_log  logs/host.access.log  main;

    location / {
        #root   /usr/share/nginx/html;
        root   /var/www/html/html;
        index  index.php index.html index.htm;
        auth_basic "Restricted Area";
        auth_basic_user_file /etc/nginx/conf.d/.htpasswd;
    }

    error_page  404              /404.html;
    location = /404.html {
        #root   /usr/share/nginx/html;
        root   /var/www/html/html;
    }

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        #root   /usr/share/nginx/html;
        root   /var/www/html/html;
    }

    # proxy the PHP scripts to Apache listening on 127.0.0.1:80
    #
    #location ~ \.php$ {
    #    proxy_pass   http://127.0.0.1;
    #}

    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    #
    location ~ \.php$ {
        root           /var/www/html/html;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }

    # deny access to .htaccess files, if Apache's document root
    # concurs with nginx's one
    #
    #location ~ /\.ht {
    #    deny  all;
    #}

    location /phpmyadmin {
        root /home/sai/public_html;
        index index.php index.html index.htm;
        location ~ ^/phpmyadmin/(.+\.php)$ {
            try_files $uri =404;
            root /home/sai/public_html;
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include /etc/nginx/fastcgi_params;
        }
        location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
            root /home/sai/public_html;
        }
    }

location / {
#root /usr/share/nginx/html;
root /var/www/html/html;
index index.php index.html index.htm;
auth_basic “Restricted Area”;
auth_basic_user_file /etc/nginx/conf.d/.htpasswd;
}

这段代码是配置我们主网站用的：http://qiais.com

location /phpmyadmin {
root /home/sai/public_html;
index index.php index.html index.htm;
location ~ ^/phpmyadmin/(.+\.php)$ {
try_files $uri =404;
root /home/sai/public_html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include /etc/nginx/fastcgi_params;
}
location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
root /home/sai/public_html;
}
}

这段代码是配置我们phpmyadmin用的：http://qiais.com/phpmyadmin,

当然，你需要将phpmyadmin的文件上传到/home/sai/public_html/phpmyadmin文件夹中。

2. 实现类似与虚拟主机的功能

这个很简单，只要从上述default.conf文件拷贝成新的配置文件，修改其中的server_name就可以了。

# cp /etc/nginx/conf.d/default.conf /etc/nginx/conf.d/phpmyadmin.conf
# vi /etc/nginx/conf.d/phpmyadmin.conf

#
# The default server
#
server {
    listen       80;
    server_name  phpmyadmin.qiais.com;

    #charset koi8-r;

    #access_log  logs/host.access.log  main;

    location / {
        root   /home/sai/public_html/phpmyadmin;
        index  index.php index.html index.htm;
    }

    error_page  404              /404.html;
    location = /404.html {
        root   /home/sai/public_html/phpmyadmin;
    }

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        #root   /usr/share/nginx/html;
        root   /home/sai/public_html/phpmyadmin;
    }

    # proxy the PHP scripts to Apache listening on 127.0.0.1:80
    #
    #location ~ \.php$ {
    #    proxy_pass   http://127.0.0.1;
    #}

    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    #
    location ~ \.php$ {
        root           /home/sai/public_html/phpmyadmin;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }

    # deny access to .htaccess files, if Apache's document root
    # concurs with nginx's one
    #
    #location ~ /\.ht {
    #    deny  all;
    #}
}

这样，访问 http://phpmyadmin.qiais.com 同样可以看到我们数据库管理界面。

每台主机都可能要重复相同的操作。

在AWS上我们可能通过一个已经搭建好的实例，来创建AMI,以后通过此AMI来创建实例，

从而可以减少我们很多不必要的劳动。

今天我们讨论如何在AWS上创建自己的AMI。

1. 选择需要创建AMI的实例，先暂停次实例

虽然创建AMI可以不用停止实例的运行，但是安全起见，还是暂停比较好。

Instance -> 想要创建AMI的实例（i-hanbaiten-model） –> 右击鼠标，点击stop

2. 选择已经停止的实例，创建AMI

右击已经停止的实例 –> 选择 Create Image

会弹出以下窗口

在Image Name 中输入容易辨别的名称，

点击Create Image按钮就可以了，

创建AMI需要等待一段时间。

3. 利用创建好的AMI，创建EC2实例

点击 AMIs标签 –> 选择刚创建好的AMI（这里为hanbaiten-model）–> 右击 –> 选择 Launch

接下来的工作请参考在亚马逊AWS上创建EC2的Linux(CentOS)实例

4. 创建AMI的好处

1. 省去很多重复的工作

2. 增加系统盘的EBS容量，直接创建实例的话，系统盘的大小大部分为10G以下，作为服务器的话，很快就就爆满。
通过自己的AMI创建的话，EBS可以配置的更大。

结束

1. 安装必要的包

# rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
# rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-6.rpm

2. 添加仓库

添加/etc/yum.repos.d/nginx.repo文件，在nginx.repo中添加以下内容

[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=0
enabled=1

3. 安装 Nginx, PHP 5.5.9 and PHP-FPM

# yum --enablerepo=remi,remi-php55 install nginx php-fpm php-common

4. 安装 PHP 5.5.9 模块

# yum --enablerepo=remi,remi-php55 install php-pecl-apc php-cli php-pear php-pdo php-mysqlnd php-pgsql php-pecl-mongo php-sqlite php-pecl-memcache php-pecl-memcached php-gd php-mbstring php-mcrypt php-xml

5. 停止httpd

# /etc/rc.d/init.d/httpd stop
# chkconfig httpd stop

启动nginx，php-fpm

请参考亚马逊AWS上安装Nginx(Linux,CentOS环境)

这里将介绍如何在Nginx网站服务器上简单保护未公开的网站,

要的结果是这样的：

步骤如下：

1. 编辑/etc/nginx/conf.d/default.coonf

找到 location / {}，在最下面添加两行 auth_basic “Restricted Area”; auth_basic_user_file /etc/nginx/conf.d/.htpasswd;

    #access_log  logs/host.access.log  main;

    location / {
        #root   /usr/share/nginx/html;
        root   /var/www/html/html;
        index  index.php index.html index.htm;
        auth_basic "Restricted Area";
        auth_basic_user_file /etc/nginx/conf.d/.htpasswd;
    }

注意，这里我们修改的是conf.d/default.php, 您的网站服务器的配置文件有可能不是此文件，可能会是上一节目录的nginx.conf, 或者其他，
视您的具体情况而定。

2. 接下来通过apache2-utils的htpasswd命令创建用户名与密码

# cd /etc/nginx/conf.d/
# touch .htpasswd
# htpasswd -b .htpasswd your-username your-password

centos6.4默认安装了apache2-utils，如果出现htpasswd命令错误，请确认是否安装了apache2-utils。

CentOS6.5 默认没有安装apache2-utils，我们可以通过以下方法加密密码

# cd /etc/nginx/conf.d/
# touch .htpasswd
# printf "your-username:$(openssl passwd -1 your-password)\n" >> .htpasswd

以上为MD5加密，也可以通过别的方式加密。

# 用crypt encryption方式加密

# printf "your-username:$(openssl your-password -crypt V3Ry)\n" >> .htpasswd 

# 用apr1 (Apache MD5) encryption方式加密

# printf "your-username:$(openssl your-password -apr1 V3Ry)\n" >> .htpasswd 

3. 最后重新启动nginx,以使配置生效。

/etc/rc.d/init.d/nginx restart

关于AWS的linux实例安装请参考在亚马逊AWS上创建EC2的Linux(CentOS)实例

我们分以下五步，完成aws上nginx的架设。

1. 安装mysql
2. 安装nginx
3. 安装php
4. 配置php
5. 配置nginx
6. 测试安装结果

安装必要的库

# cd
# wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
# rpm -ivh epel-release-6-8.noarch.rpm
# rm -rf epel-release-6-8.noarch.rpm

1. 安装mysql

切换到root用户

su

安装mysql

# yum install mysql mysql-server

初始化mysql，具体参看在Linux(CentOS6)上搭建Apache2+Mysql5+PHP5开发环境的mysql安装部分。

1. 安装nginx

# yum install nginx

启动nginx，并且配置nginx开机启动

# /etc/init.d/nginx start
# chkconfig nginx on

3. 安装php

安装php及相关php的包

# yum install php php-mysql php-common php-gd php-mbstring php-mcrypt php-devel php-xml php-pear php-fpm

4. 配置php

# vi /etc/php.ini

找到#cgi.fix_pathinfo=1，在下面添加

cgi.fix_pathinfo=0

5. 配置nginx

vi /etc/nginx/conf.d/default.conf

更改如下

server {
    listen       80 default_server;
    server_name  _;

    #charset koi8-r;

    #access_log  logs/host.access.log  main;

    location / {
        #root   /usr/share/nginx/html;
        root   /var/www/html;
        index  index.php index.html index.htm;
    }

    error_page  404              /404.html;
    location = /404.html {
        #root   /usr/share/nginx/html;
        root   /var/www/html;
    }

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        #root   /usr/share/nginx/html;
        root   /var/www/html;
    }

    # proxy the PHP scripts to Apache listening on 127.0.0.1:80
    #
    #location ~ \.php$ {
    #    proxy_pass   http://127.0.0.1;
    #}

    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    #
    location ~ \.php$ {
        root           /var/www/html;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }

    # deny access to .htaccess files, if Apache's document root
    # concurs with nginx's one
    #
    #location ~ /\.ht {
    #    deny  all;
    #}
}

6. 启动nginx

# /etc/rc.d/init.d/nginx restart
# chkconfig nginx on

7. 启动php-fpm

# /etc/rc.d/init.d/php-fpm restart
# chkconfig php-fpm on

8. 测试安装

在/var/www/html中添加info.php,访问 http://********/info.php