| 导读 | 随着互联网的发展,不少公司和我的愈来愈重视网络的安全性,愈来愈多的公司采用HTTPS协议来代替了HTTP协议。 |
做者我的研发的在高并发场景下,提供的简单、稳定、可扩展的延迟消息队列框架,具备精准的定时任务和延迟队列处理功能。自开源半年多以来,已成功为十几家中小型企业提供了精准定时调度方案,经受住了生产环境的考验。为使更多童鞋受益,现给出开源框架地址:https://github.com/sunshinelyz/mykit-delayhtml
写在前面linux
随着互联网的发展,不少公司和我的愈来愈重视网络的安全性,愈来愈多的公司采用HTTPS协议来代替了HTTP协议。为什么说HTTPS协议比HTTP协议安全呢?小伙伴们自行百度吧!我就不说了。今天,咱们就一块儿来聊聊如何使用自签CA配置Nginx的HTTPS加密反向代理。咳咳,小伙伴们快上车。nginx
若是这篇文章对你有所帮助,请文末留言,点个赞,给个在看和转发,你们的支持是我持续创做的最大动力!git
Nginx实现HTTPSgithub
出于安全访问考虑,采用的CA是本机Openssl自签名生成的,所以没法经过互联网工信Root CA验证,因此会出现该网站不受信任或安全证书无效的提示,直接跳过,直接访问便可!浏览器
HTTPS的原理和访问过程安全
服务器必要条件有两个:一个服务器私钥 KEY文件,一张与服务器域名匹配的CA证书(公钥,根据私钥key生成)服务器
访问过程网络
(1)客户端浏览器经过https协议访问服务器的443端口,并得到服务器的证书(公钥);客户端浏览器这时候会去找一些互联网可信的RootCA(权威证书颁发机构)验证当前获取到的证书是否合法有效,PS:这些RootCA是随操做系统一块儿预设安装在了系统里面的;并发
(2)若是RootCA验证经过,表示该证书是可信的,而且若证书中标注的服务器名称与当前访问的服务器URL地址一致,就会直接使用该证书中包含的公钥解密服务器经过本身的KEY(私钥)加密后传输过来的网页内容,从而正常显示页面内容;
(3)若是RootCA验证不经过,说明该证书是未得到合法的RootCA签名和受权,所以也就没法证实当前所访问的服务器的权威性,客户端浏览器这时候就会显示一个警告,提示用户当前访问的服务器身份没法获得验证,询问用户是否继续浏览!(一般自签名的CA证书就是这种状况)
这里须要注意,验证CA的有效性,只是证实当前服务器的身份是否合法有效,是否具备公信力以及身份惟一性,防止其余人仿冒该网站;但并不会影响到网页的加密功能,尽管CA证书没法获得权威证实,可是它所包含的公钥和服务器上用于加密页面的私钥依然是匹配的一对,因此服务器用本身的私钥加密的网页内容,客户端浏览器依然是能够用这张证书来解密,正常显示网页内容,因此当用户点击“继续浏览此网站(不推荐)”时,网页就能够打开了;
自签名CA证书生成
1.用Openssl随机生成服务器密钥,和证书申请文件CSR
2.本身给本身签发证书
#opensslx509 -req -days 3650 -in moonfly.net.csr -signkeymoonfly.net.key -outmoonfly.net.crt
-days 3650 证书的有效期,本身给本身颁发证书,想有多久有效期,就弄多久,我一下弄了10年的有效期;
-inmoonfly.net.csr指定CSR文件
-signkeymoonfly.net.key指定服务器的私钥key文件
-outmoonfly.net.crt 设置生成好的证书文件名
一条命令,本身给本身压钢印的身份证 moonfly.net.crt 就诞生了!
注:其实严格来说,这里生成的只是一张RootCA,并非严格意义上的服务器证书ServerCA,真正的ServerCA是须要利用这张RootCA再给服务器签署办法出来的证书才算;不过咱们这里只讲如何实现网页的SSL加密,因此就直接使用RootCA了,也是能正常实现加密功能的!
Nginx启用HTTPS
配置文件修改完毕后,用nginx -t 测试下配置无误,就reload一下nginx服务,检查443端口是否在监听:
配置完毕,https已经在工做了,如今能够经过https访问网站了Linux就该这么学