nginx 之 https 证书配置
HTTPS原理和做用
为何须要HTTPShtml
缘由:HTTP不安全node
- 传输数据被中间人盗用、信息泄露
- 数据内容劫持、篡改
HTTPS协议的实现nginx
对传输内容进行加密以及身份验证算法
对称加密:加密秘钥和解密秘钥是对等的,同样的shell
非对称加密:缓存
HTTPS加密协议原理:安全
中间人伪造客户端和服务端:(中间人能够假装成客户端和服务端,中间人能够对数据进行劫持,不安全)服务器
HTTPS的CA签名证书:(服务端和客户端经过实现约定好的证书进行认证,都会对证书进行校验,因此中间人无法劫持数据,故安全)session
HTTPS 配置使用
证书签名生成CA证书app
先确认环境:已经安装openssl和nginx已经编译ssl的模块
openssl version
nginx -V
rpm -qa | grep open
生成秘钥和CA证书步骤:
步骤一、生成key秘钥
步骤二、生成证书签名请求文件(csr文件)
步骤三、生成证书签名文件(CA文件)
证书签名生成和Nginx的HTTPS服务场景演示
先建立一个用来放秘钥的文件夹 ssl_key
cd /etc/nginx/ mkdir ssl_key
输入加密算法
openssl genrsa -idea -out jesonc.key 1024
回车,会让输入密码,这里设置为123456,完成后会生成一个.key的文件
生成证书签名请求文件(csr文件)
openssl req -new -key jesonc.key -out jesonc.csr
查看生成的请求文件
生成证书签名文件(CA文件) 打包 有效期设置了 10 年
openssl x509 -req -days 3650 -in jesonc.csr -signkey jesonc.key -out jesonc.crt
Nginx的HTTPS语法配置
ssl开关 配置语法:ssl on|off; 默认状态:ssl off; 配置方法:http、server ssl证书文件 配置语法:ssl_certificate file; 默认状态:- 配置方法:http、server ssl密码文件 配置语法:ssl_certificate_key file; 默认状态:ssl off; 配置方法:http、server
进入/etc/nginx/conf.d/
test_https.conf
server
{
listen 443;# https 监听的是 443端口
server_name 192.168.1.112 www.zhangbiao.com;
keepalive_timeout 100;
ssl on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_certificate /etc/nginx/ssl_key/jesonc.crt; # 证书路径
ssl_certificate_key /etc/nginx/ssl_key/jesonc.key; # 请求认证 key 的路径
index index.html index.htm;
location / {
root /opt/app/code;
}
}
配置好以后,关闭和启动,都须要数以前设置的密码
关闭
nginx -s stop -c /etc/nginx/nginx.conf
启动
nginx -c /etc/nginx/nginx.conf
访问
https://www.zhangbiao.com/index.html
基于Nginx的HTTPS服务_实战场景配置苹果要求的openssl后台HTTPS服务
配置苹果要求的证书:
- 一、服务器全部的链接使用TLS1.2以上的版本(openssl 1.0.2)
- 二、HTTPS证书必须使用SHA256以上哈希算法签名
- 三、HTTPS证书必须使用RSA2048位或ECC256位以上公钥算法
- 四、使用前向加密技术
首先看openssl版本:,为1.0.1,须要升级
查看当前使用的自签算法类型:openssl x509 -noout -text -in ./jesonc.crt,使用的是sha256,位数是1024位,都不符合规定
openssl x509 -noout -text -in ./jesonc.crt
升级openssl,使用shell脚本升级
update_openssl.sh
#!/bin/sh #jeson@imoocc.com cd /opt/download wget https://www.openssl.org/source/openssl-1.0.2k.tar.gz tar -zxvf openssl-1.0.2k.tar.gz cd openssl-1.0.2k ./config --prefix=/usr/local/openssl make && make install mv /usr/bin/openssl /usr/bin/openssl.OFF mv /usr/include/openssl /usr/include/openssl.OFF ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl ln -s /usr/local/openssl/include/openssl /usr/include/openssl echo "/usr/local/openssl/lib" >>/etc/ld.so.conf ldconfig -v openssl version -a
执行脚本
sh ./update_openssl.sh
版本升级成功,查看版本
openssl version
制做复合苹果的证书
修改算法
openssl req -days 36500 -x509 -sha256 -nodes -new^Cy rsa:2048 -keyout jesonc_apple.crt
修改配置文件
test_https.conf
server
{
listen 443;
server_name 192.168.1.112 www.zhangbiao.com;
keepalive_timeout 100;
ssl on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_certificate /etc/nginx/ssl_key/jesonc_apple.crt;
ssl_certificate_key /etc/nginx/ssl_key/jesonc.key;
index index.html index.htm;
location / {
root /opt/app/code;
}
}
检查配置语法,并重载
nginx -tc /etc/nginx/nginx.conf nginx -s reload -c /etc/nginx/nginx.conf
查看443端口是否启动
netstat -luntp | grep 443
访问
https://www.zhangbiao.com/index.html
成功返回地页面
HTTPS 服务优化
方法一:
激活keepalive 长链接
方法二:
设置 session 缓存
test_https.conf
server
{
listen 443;
server_name 116.62.103.228 jeson.t.imooc.io;
keepalive_timeout 100; # 长链接 100s
ssl on;
ssl_session_cache shared:SSL:10m; # 设置 10M 的缓存
ssl_session_timeout 10m; # session 过时时间 10 分钟
ssl_certificate /etc/nginx/ssl_key/jesonc_apple.crt;
ssl_certificate_key /etc/nginx/ssl_key/jesonc.key;
index index.html index.htm;
location / {
root /opt/app/code;
}
}
- 1. nginx 之 https 证书配置
- 2. Nginx配置HTTPS证书
- 3. Nginx 配置https证书
- 4. nginx https证书配置
- 5. 【Nginx】nginx配置openssl 证书,https
- 6. nginx配置ssl双向验证 nginx https ssl证书配置
- 7. Nginx、tomcat配置https证书申请
- 8. nginx配置https(免费证书)
- 9. nginx 配置本地https(免费证书)
- 10. Linux+Nginx+tomcat配置https证书
- 更多相关文章...
- • Eclipse Debug 配置 - Eclipse 教程
- • Git 安装配置 - Git 教程
- • IntelliJ IDEA 代码格式化配置和快捷键
- • IDEA下SpringBoot工程配置文件没有提示
-
每一个你不满意的现在,都有一个你没有努力的曾经。