需要apache服务至少加载 如下ssl相关模块，可以的话，推荐开启所有模块

# vim /etc/httpd/conf/httpd.conf

Include conf/extra/ssl.conf

LoadModule  ssl_module            modules/mod_ssl.so

LoadModule  rewrite_module        modules/mod_rewrite.so

LoadModule  socache_shmcb_module  modules/mod_socache_shmcb.so

需要nginx服务支持编译支持ssl模块

1）一般，自签证书均在同一台服务器执行进行签署，按照如下操作即可

2）如果，CA证书服务器和用户请求的服务器是不同机器,CA服务器只负责生成CA根证书和签发，用户服务器负责进行申请，CA服务器将用户服务器发送给自己的httpd.csr 证书请求文件进行签发，并生成httpd.crt证书文件，然后发放给用户服务器端，进行配置即可，用户服务器目的是要获取httpd.crt证书文件。

cd /etc/pki/CA  &&  (umask 077; openssl genrsa -out private/cakey.pem 2048)

[root@localhost CA]# vim /etc/pki/tls/openssl.cnf

130 countryName_default             = CN//修改为CN

135 stateOrProvinceName_default     = Beijing//省份名称

138 localityName_default            = Beijing//城市名称

141 0.organizationName_default      = zxl//组织名称

148 organizationalUnitName_default  = Tech//部门名称

[root@localhost CA]# pwd
/etc/pki/CA
[root@localhost CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650

[root@localhost pki]# vim ../tls/openssl.cnf

42 dir             = /etc/pki/CA   //修改CA证书路径

　　　　如果certs crl newcerts目录不存在手动创建目录即可　　

[root@localhost CA]# touch index.txt

[root@localhost CA]# echo 01 > serial

[root@localhost CA]# ls

cacert.pem  certs  crl  index.txt  newcerts  private  serial

创建存放证书的目录  /app/httpd2.4.25/conf/ssl

[root@localhost ssl]# pwd

/app/httpd2.4.25/conf/ssl

[root@localhost ssl]# (umask 077; openssl genrsa 2048 > httpd.key)

//生成证书请求，由于是自签证书，所以以下信息必须和CA服务器根证书签发一致

[root@localhost ssl]# openssl req -new -key httpd.key -out httpd.csr

//签发证书十年3650天，信息内容，回车，会输入两个y

[root@localhost ssl]# openssl ca -in httpd.csr  -out httpd.crt -days 3650

[root@localhost CA]# ls /etc/pki/CA/

cacert.pem  certs  crl  index.txt  index.txt.attr

index.txt.old  newcerts  private  serial  serial.old

[root@localhost CA]# cat /etc/pki/CA/index.txt

V     210418070116Z         01    unknown    /C=CN/ST=BeiJing/O=pxjy/OU=IT\xC3\xA4\xC2\xBA\xC2\xA7\xC3\xA5\xC2\x93\xC2\x81\xC3\xA7\xC2\xA0\xC2\x94\xC3\xA5\xC2\x8F\xC2\x91\xC3\xA9\xC2\x83\xC2\xA8/CN=www.pdjy.com

httpd.key   httpd.crt

[root@localhost conf]# vim httpd-vhosts.conf

……自签证书，配置两行证书文件即可实现和购买的证书有点区别

SSLEngine on

SSLCertificateFile        conf/ssl/httpd.crt

SSLCertificateKeyFile     conf/ssl/httpd.key

# For ssl证书配置-针对泛域名

<VirtualHost *:80>

    ServerAlias    *.pxjy.com

    RewriteEngine  on

    RewriteCond    %{SERVER_PORT}  !^443$

　　 RewriteRule    ^(.*)?$   https://%{SERVER_NAME}$1

</VirtualHost>

# For ssl证书配置-针对单域名

RewriteEngine on

RewriteCond   %{SERVER_PORT} !^443$

RewriteCond   %{REQUEST_URI} !^/tz.php

RewriteRule   (.*)  https://%{SERVER_NAME}/$1 [R,L]

%{SERVER_PORT} —— 访问端口

%{REQUEST_URI} —— 比如如果url是 http://localhost/tz.php，则是指 /tz.php。

%{SERVER_NAME} —— 比如如果url是 http://localhost/tz.php，则是指 localhost。

以上规则的意思是，如果访问的url的端口不是443，且访问页面不是tz.php，则应用RewriteRule这条规则。

这样便实现了：访问了 http://localhost/index.php 或者 http://localhost/admin/index.php 等页面的时候会自动跳转到 https://localhost/index.php 
或者 https://localhost/admin/index.php，但是访问 http://localhost/tz.php 的时候就不会做任何跳转，也就是说 http://localhost/tz.php 
和 https://localhost/tz.php 两个地址都可以访问

RewriteEngine On

RewriteBase   /

RewriteCond   %{SERVER_PORT} 80

RewriteRule   ^(.*)$  https://www.firx.cn/$1 [R,L]

#这样跳转的好处是独立IP主机也支持，访问ip能自动跳转到https

RewriteEngine on

RewriteCond   %{SERVER_PORT} !^443$

RewriteRule   ^(.*)?$  https://%{SERVER_NAME}/$1 [R=301,L]

#整站跳转

RewriteEngine on

RewriteBase   /yourfolder

RewriteCond   %{SERVER_PORT} !^443$

#RewriteRule  ^(.*)?$   https://%{SERVER_NAME}/$1 [R=301,L]

RewriteRule   ^.*$      https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

#以上至针对某个目录跳转， yourfolder就是目录名

redirect 301  /你的网页  https://你的主机+网页

#至针对某个网页跳转

RewriteCond  %{http_host}  ^firx.cn [nc]

RewriteRule  ^(.*)?$       https://www.firx.cn$1 [R=301,L]

RewriteCond  %{SERVER_PORT} !^443$

RewriteRule  ^(.*)?$       https://www.firx.cn/$1 [R=301,L]

# For ssl证书配置-针对单域名

ServerName   proxy.mimvp.com

Redirect     permanent  /  https://xxx.xxx.com/

<Directory   "/app/website/jituanguanwang_web">

    ……

    Header set Access-Control-Allow-Origin  https://xxx.xxx.com

    ……

</Directory>

附：

如上，标红处配置，是解决http协议跳转https协议时，出现跨域的问题；

后面的域名，可以用 * ，或者指定域名均可；

有跨域的问题就可以加上此配置，若无此问题，也可以不加

……

SSLEngine on

SSLCertificateFile       conf/ssl/xxx.com.cer

SSLCertificateKeyFile    conf/ssl/xxx.com.key

SSLCertificateChainFile  conf/ssl/xxx.com.crt

……

openssl genrsa -des3 -out ssl.key 1024

openssl req -new -key ssl.key -out ssl.csr

cp ssl.key ssl.key.org

openssl rsa -in ssl.key.org -out ssl.key

openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt

ssl_certificate      /etc/nginx/ssl/ssl.crt;

ssl_certificate_key  /etc/nginx/ssl/ssl.key;

A. 准备好SSL证书或采购或自签生成

B. Nginx需要支持ssl模块

#cat  /usr/local/nginx1.10.3/conf/conf.d/project.conf

server {

listen       80;

listen       443 ssl;

server_name  pxsnx.pxjy.com;         ### 配置网站域名

root         /app/webroot/project;

access_log   /app/applog/project.log        main;

error_log    /app/applog/project.error.log  error;

ssl_certificate      ssl/pxsnx.pxjy.com.crt;  ### 路径需要进行创建，证书文件

ssl_certificate_key  ssl/pxsnx.pxjy.com.key;  ### 证书秘钥文件

# 协议优化(可选,优化https协议,增强安全性)

ssl_protocols        TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers          ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

ssl_session_cache    shared:SSL:10m;

ssl_session_timeout  10m;

ssl_prefer_server_ciphers  on;

# 自动跳转到https     //注释此跳转，则实现的是兼容80和443端口访问

if ($server_port = 80) {

    rewrite ^(.*)$ https://$host$1 permanent;

}

location / {

    index  index.php;

        if (!-e $request_filename){

          rewrite ^/(.*)$ /index.php?s=$1;

        }

  }

error_page  404              /404.html;

location = /40x.html {

  }

error_page   500 502 503 504  /50x.html;

location = /50x.html {

}

location ~ \.php {

    fastcgi_pass   127.0.0.1:9000;

    fastcgi_index  index.php;

　　 fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;

　　 fastcgi_param  PHP_VALUE  "open_basedir=/app/webroot/project:/tmp/";

    include        fastcgi_params;

  }

}

#cat  /usr/local/nginx1.10.3/conf/conf.d/project.conf

server {

    listen       80;

    server_name  pxsnxg.pxjy.com;                   ### 配置网站域名

    rewrite      ^(.*)$ https://$host$1 permanent;  ### 配置永久重定向

}

#附： 如果想用泛域名进行配置的话，可以配置 “server_name  *.pxjy.com;” ,单独命名一个全局的配置文件，便于管理

server {

listen       443 ssl;

server_name  pxsnx.pxjy.com;         ### 配置网站域名

root         /app/webroot/project;

access_log   /app/applog/project.log        main;

error_log    /app/applog/project.error.log  error;

ssl_certificate      ssl/pxsnx.pxjy.com.crt;  ### 路径需要进行创建，证书文件

ssl_certificate_key  ssl/pxsnx.pxjy.com.key;  ### 证书秘钥文件

# 协议优化(可选,优化https协议,增强安全性)

ssl_protocols        TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers          ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

ssl_session_cache    shared:SSL:10m;

ssl_session_timeout  10m;

ssl_prefer_server_ciphers  on;

location / {

    index  index.php;

        if (!-e $request_filename){

          rewrite ^/(.*)$ /index.php?s=$1;

    }

}

error_page  404              /404.html;

location = /40x.html {

}

error_page   500 502 503 504  /50x.html;

location = /50x.html {

}

location ~ \.php {

    fastcgi_pass   127.0.0.1:9000;

    fastcgi_index  index.php;

　　 fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;

　　 fastcgi_param  PHP_VALUE        "open_basedir=/app/webroot/project:/tmp/";

    include        fastcgi_params;

  }

}