Linux 服务器系列(二)Lets Encrypt SSL 证书配置

本贴最后更新于 2447 天前,其中的信息可能已经斗转星移

原文地址 https://www.heayan.com/articles/2018/01/19/1516341939836.html

前言

长期以来,使用 Google 浏览器时,总会被 Google 劫持加入广告,非常让人反感,相信大家对此也备受煎熬。由于大多数网站还是通过 http 方式来进行网络访问,这种协议下很容易受到黑客攻击,造成敏感信息泄露。https 可以很好的解决这些问题,但是 https 的普及还有很长一段路要走,网络访问安全并没有得到大家的应有的重视。

环境准备

    JDK8
    Nginx 1.12
    Tomcat8.5

安装 Nginx+Tomcat

    请参考 Linux 服务器系列(一)简单服务器配置。

安装 SSL 证书

  1. 安装 EPEL 源
    [root@heayan conf]# cd /usr/local
    [root@heayan conf]# wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
    [root@heayan conf]# rpm -Uvh epel-release-latest-7.noarch.rpm
    查看所有源
    [root@heayan conf]# yum repolist
  2. 安装 certbot-nginx
    [root@heayan conf]# sudo yum install certbot-nginx
  3. 生成证书(需要项目成功部署,且可以访问)
    第一种方式,更新证书需要重启
    [root@heayan conf]# certbot certonly --standalone -d www.heayan.com -m heayan@aliyun.com --agree-tos
    第二种方式,更新证书不需重启
    [root@heayan conf]# certbot certonly --webroot -w /opt/www/www.heayan.com -d www.heayan.com -m heayan@aliyun.com --agree-tos
  4. 查看证书
    证书生成在/etc/letsencrypt/live 目录下
    [root@heayan conf]# ls /etc/letsencrypt/live/www.heayan.com

Nginx 配置证书

  • 配置 nginx.conf
    [root@heayan conf]# vi /usr/local/nginx1.12/conf/nginx.conf
    server {
      listen 443 ssl;#监听端口
      server_name www.heayan.com;#访问域名
      ssl_certificate /etc/letsencrypt/live/www.heayan.com/fullchain.pem;#证书地址
      ssl_certificate_key /etc/letsencrypt/live/www.heayan.com/privkey.pem;#证书密码
      ssl_session_cache shared:SSL:1m;
      ssl_session_timeout 5m;#超时时间
      ssl_ciphers HIGH:!aNULL:!MD5;#加密方式
      ssl_prefer_server_ciphers on;
      location / {
       proxy_pass http://heayan;#请求转发(注意:并非 https 而是 http)
      }
    }
  • 配置完成,重新加载 nginx 即可
    [root@heayan conf]#/usr/local/nginx1.12/sbin/nginx -s reload

特别说明

  • 正常情况下,Https 访问过程中不允许存在 http 链接的。如果存在,浏览器将视其为不安全内容。
  • 保证 Nginx 安装时启用--with-http_ssl_module 模块。
  • 生成证书命令中出现多个-d 可能导致失败。

版权声明:版权所有,转载请注明原文地址。

  • SSL

    SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层对网络连接进行加密。

    70 引用 • 193 回帖 • 432 关注
  • NGINX

    NGINX 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 NGINX 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本 0.1.0 发布于 2004 年 10 月 4 日。

    311 引用 • 546 回帖
  • HTTPS
    99 引用 • 274 回帖 • 3 关注

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...