其实早就想弄个HTTPS了的，明文传输什么的太不安全了，自己在家里可能还稍微好点，但到时候到了外面用的网络的安全没法保证的话，嗅探、监听什么的立马就把密码给抓过去了，密码丢了的话，其他的安全做的再好也白搭。

上午看了看HTTPS的相关知识，中午就想着给Nginx增加个HTTPS支持/配置，因为之前在源码编译安装的时候就默认添加了SSL的支持选项，所以这次要轻松些，不用重新编译；然后OpenSSL这些也是早就装了的，版本也是最新的。

下面就开始一切从简进行设置了：

使用自认证的证书：

1.创建一个(未加密的)RSA私钥：
$ openssl genrsa -out crazyof_me.key 1024

2.创建一个自签名的证书文件(X.509结构，输出为PEM格式)：
$ openssl req -new -x509 -days 365 -key crazyof_me.key -out crazyof_me.crt

现在，我们有了两个文件，crazyof_me.key和crazyof_me.crt，下面只需在nginx中的配置文件中进行简单的设置就行：

http {
    ssl_session_cache   shared:SSL:10m;
    ssl_session_timeout 10m;

    server {
        listen              80;
        listen              443 ssl;
        server_name         ixyzero.com;
        keepalive_timeout   70;

        ssl_certificate     /home/crazyof_me.crt;
        ssl_certificate_key /home/crazyof_me.key;
        ssl_protocols       SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers         HIGH:!aNULL:!MD5;
        ...

说明：因为我的VPS配置比较低，所以，不可能所有的连接都采用HTTPS，那样开销太大，服务器受不了，而且访问速度也会受影响，所以，1.设置了ssl_session_cache和ssl_session_timeout进行简单的优化；2.上面的配置中有2个listen指令，既可以监听HTTP请求也可以监听HTTPS请求（本来想着是在nginx的配置文件中通过rewrite指令实现指定的页面采用HTTPS协议的，但是无奈现在对这还不够熟悉，配置了很多次之后还是有问题，后来只有采用另一种WordPress支持的方法来达到目的）。

然后重新加载Nginx的配置文件{# service nginx reload}。

设置WordPress后台管理/登录页面强制加密：

修改WordPress网站根目录下的wp-config.php文件
在
require_once(ABSPATH . ‘wp-settings.php’);
之前，若添加：
define(‘FORCE_SSL_ADMIN’, true);
就能使得后台强制加密了；
而添加：
define(‘FORCE_SSL_LOGIN’, true);
就可以使登录页面强制加密了。

PS：如果有谁知道如何在nginx的配置文件中直接实现指定页面(如：登录页面)采用HTTPS连接的话，望不吝告知，谢谢。

参考链接：

• http://nginx.org/en/docs/http/configuring_https_servers.html
• http://zyan.cc/startssl/
• http://m114.org/https-for-wordpress-admin-and-login/
• http://codex.wordpress.org/Administration_Over_SSL