Godaddy购买SSL之后Nginx配置流程以及各种错误的解决

完整流程：

参考地址：
https://sg.godaddy.com/zh/help/nginx-generate-csrs-certificate-signing-requests-3601

生成 NGINX CSR

1、通过SSH连接到服务器，注意需要Linux服务器，windows服务器没有测试。

2、运行以下命令：（这里注意 您的域名.key 这个也是需要用到的）

openssl req -new -newkey rsa:2048 -nodes -keyout 您的域名.key -out 您的域名.csr

3、输入申请信息，这一步可以省略，全部留空也是可以的，依然正常通过了。不过注意最后的密码还是建议设置一下的。

4、在文本编辑器中打开 CSR，然后复制所有文本。

5、将完整的 CSR 粘贴到您账户的 SSL 申请区域。

然后就可以获得一个压缩包，这个压缩包里面包含这样几个内容：

xxxxxxx.crt

xxxxxx.pem

gd_bundle-g2-g1.crt

这个是不能直接使用的，需要合并两个crt文件才可以。可以使用这个命令进行合并：

cat xxxxxxx.crt gd_bundle-g2-g1.crt > 你的域名.crt

注意顺序，gd_bundle-g2-g1.crt 这个必须在后面。

这样就能获得可以使用的 crt 和 key 了，有了这两个就可以去配置nginx了

nginx的完整配置如下：

server {
    listen       80;
    listen       443 ssl http2;
    server_name  你的域名;

    ssl_certificate /home/conf/https/你的域名.crt;
    ssl_certificate_key /home/conf/https/你的域名.key;

    #charset koi8-r;
    #access_log  /var/log/nginx/host.access.log  main;

    location / {
        root   /home/www/html;
        index  index.html index.htm;
    }
}

这个配置支持 http 和 https 两种，也可以做跳转将 http 都指向 https

然后就是 测试 nginx 的配置正确性使用

nginx -t

如果看到 ok ，那么恭喜你，配置正确，并且通过测试，重启 nginx 就可以生效了。注意修改域名指向，并且 ping 一下域名，确认域名指向已经生效了。

如果购买的是通用域名的SSL那么二级域名也是可以使用的，如果在不同的服务器，只需要把 合并好的 你的域名.crt 和 你的域名.key 复制到新的服务器就可以正常使用了。

如果一切都是按照这样的流程操作一般是不会遇到任何问题的。下面把我遇到的奇葩问题列出来，希望能帮助到有需要的小伙伴。

情况是这样的，同事已经生成了 crt 文件了，因为我需要配置二级域名，于是就让同事把文件传递给我。他给了我一个压缩包，我按照流程，合并 crt ，配置好 crt 和 key 文件，nginx -t 进行测试，遇到以下问题，关键错误信息：

第一步猜测是不是因为 aconda 环境问题导致。

aconda自动加入了命令到 .bashrc中，在打开终端的时候自动执行了conda activate base 命令导致的，命令conda deactivate可以去掉(base)

执行之后发现错误依然存在。

错误信息1：

nginx: [emerg] cannot load certificate SSL: error:0200100D:system library:fopen:Permission denied:fo

忘记自己是否经历过这个错误了，但是我按照这个错误度娘了解决方案

度娘这个错误，发现一个解决方案和产生原因说明：

SELinux 文件不能访问的原因，是程序与目标文件的 scontext(Security Context) 不一致。

Nginx 使用的是 httpd_config_t，自己copy的文件使用的是 user_home_t。

查看文件的 scontext 方式是 ls -Z 就能看到类似这样的情况：

$ sudo ls -lrtZ /etc/nginx/ssl
-rw-r--r--. root root unconfined_u:object_r:user_home_t:s0 你的域名.crt
-rw-r--r--. root root unconfined_u:object_r:user_home_t:s0 你的域名.key

修改 scontext 的方法

chcon -R -t httpd_config_t 你的域名.crt

chcon -R -t httpd_config_t 你的域名.key

-R 是递归，可以修改多个文件的 scontext

（注意，默认服务器应该是禁用 SELinux 的，禁用了，应该就没有类似问题了，没有实际测试，本次操作的服务器，SELinux处于开启状态）

修改完成之后，nginx -t 依然产生错误。

错误信息2：

failed SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: ANY PRIVATE KEY

核心是 no start line 没有起始行，找到一个说明：

是证书文件没配置正确导致的，下面是正确的证书格式开头和结尾，打开检查一下自己的。

ssl certificate文件里：
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

ssl key certificate文件里：
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----

打开 key 文件，发现 确实，我的文件是这样的

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

修改之后测试，问题依旧。（最终测试这个不用修改，错误点不在这里）

继续查，发现可能是文件编码问题，于是查看文件编码

file 你的域名.key

返回的文件格式居然是 UTF-8 + BOM ，正确的格式应该是 ASCII

修改文件格式为 ASCII 之后，一切正常了。

nginx -t 测试通过，重启 nginx 成功。

产生问题的原因分析，后来和同事沟通，同事可能是在windows执行的命令，然后直接放在亚马逊的S3上使用的，一切正常并没有遇到问题。亚马逊的S3并没有使用到 key 文件。可能同事在保存 key 文件的时候没有注意格式，也可能是在linux上执行的命令，然后复制key文件的内容到本地文件。