Nginx搭建HTTPS服务器--自签证书

最新推荐文章于 2024-03-25 17:58:59 发布
最新推荐文章于 2024-03-25 17:58:59 发布
阅读量1.5w 收藏 8
点赞数 3
分类专栏: httpS 文章标签: ssl https

HTTPS简介

HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议。Https使用的默认端口是443。更多HTTPS原理可以参考阮一峰老师的文章:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html

SSL证书

证书类型简介

要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA)。CA验证证书请求及您的身份,然后将证书返回给您的安全服务器。
但是内网实现一个服务器端和客户端传输内容的加密,可以自己给自己颁发证书,只需要忽略掉浏览器不信任的警报即可!
由CA签署的证书为您的服务器提供两个重要的功能:
  • 浏览器会自动识别证书并且在不提示用户的情况下允许创建一个安全连接。
  • 当一个CA生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。
  • 多数支持ssl的web服务器都有一个CA列表,它们的证书会被自动接受。当一个浏览器遇到一个其授权CA并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接。

制作CA证书

ca.key CA私钥:
[html]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. openssl genrsa -des3 -out ca.key 2048  


ca.crt CA根证书(公钥):

openssl req -new -x509 -days 365 -key ca.key -out ca.crt


制作网站的证书并用CA签名认证

这里,假设网站域名为www.example.com,生成com.example.com证书私钥:
[plain]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. openssl genrsa -des3 -out www.example.com.pem 1024  

制作解密后的www.example.com证书私钥:
[plain]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. openssl rsa -in www.example.com.pem -out www.example.com.key  

生成签名请求:
[plain]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. openssl req -new -key www.example.com.pem -out www.example.com.csr  

可以在Common Name中填入网站域名,即可生产该网站的证书。
用CA进行签名:
[plain]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. openssl ca -policy policy_anything -days 365 -cert ca.crt -keyfile ca.key -in www.example.com.csr -out www.example.com.crt  
可能执行签名时,会出现“I am unable to access the ./demoCA/newcerts directory”问题:
解决方法:
[plain]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. mkdir -p demoCA/newcerts  
  2. touch demoCA/index.txt  
  3. touch demoCA/serial  
  4. echo "01" > demoCA/serial  
然后,再执行签名命令即可。

基于Nginx搭建HTTPS虚拟主机

虚拟主机配置文件

[html]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. upstream sslfpm {  
  2.     server 127.0.0.1:9000   weight=10   max_fails=3 fail_timeout=20s;  
  3. }  
  4.   
  5. server {   
  6.     listen       192.168.1.*:443;   
  7.     server_name  192.168.1.*;   
  8.       
  9.     #为一个server开启ssl支持  
  10.     ssl                  on;  
  11.     #为虚拟主机指定pem格式的证书文件  
  12.     ssl_certificate      /home/wangzhengyi/ssl/wangzhengyi.crt;   
  13.     #为虚拟主机指定私钥文件  
  14.     ssl_certificate_key  /home/wangzhengyi/ssl/wangzhengyi_nopass.key;   
  15.     #客户端能够重复使用存储在缓存中的会话参数时间  
  16.     ssl_session_timeout  5m;  
  17.     #指定使用的ssl协议   
  18.     ssl_protocols  SSLv3 TLSv1;   
  19.     #指定许可的密码描述  
  20.     ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;   
  21.     #SSLv3和TLSv1协议的服务器密码需求优先级高于客户端密码  
  22.     ssl_prefer_server_ciphers   on;   
  23.   
  24.     location / {   
  25.         root   /home/wangzhengyi/ssl/;  
  26.         autoindex on;  
  27.             autoindex_exact_size    off;  
  28.             autoindex_localtime on;  
  29.     }   
  30.         # redirect server error pages to the static page /50x.html  
  31.         #  
  32.         error_page   500 502 503 504  /50x.html;  
  33.         error_page   404 /404.html;  
  34.   
  35.     location = /50x.html {  
  36.             root   /usr/share/nginx/www;  
  37.         }  
  38.     location = /404.html {  
  39.             root   /usr/share/nginx/www;  
  40.         }  
  41.       
  42.         # proxy the PHP scripts to fpm  
  43.         location ~ \.php$ {  
  44.         access_log  /var/log/nginx/ssl/ssl.access.log  main;  
  45.         error_log /var/log/nginx/ssl/ssl.error.log;  
  46.         root /home/wangzhengyi/ssl/;   
  47.         fastcgi_param   HTTPS   on;  
  48.             include /etc/nginx/fastcgi_params;    
  49.             fastcgi_pass    sslfpm;  
  50.         }  
  51. }  

HTTPS服务器优化

方法
SSL操作需要消耗CPU资源,所以在多处理器的系统,需要启动多个工作进程,而且数量需要不少于可用CPU的个数。最消耗CPU资源的SSL操作是SSL握手,有两种方法可以将每个客户端的握手操作数量降到最低:
  1. 保持客户端长连接,在一个SSL连接发送多个请求
  2. 在并发的连接或者后续的连接中重用SSL会话参数,这样可以避免SSL握手操作。
会话缓存用于保存SSL会话,这些缓存在工作进程间共享,可以使用 ssl_session_cache指令进行配置。1M缓存可以存放约4000个会话。默认的缓存超时时间是5m,可以使用ssl_session_timeout加大它。
ssl_session_cache指令
[html]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. 语法:ssl_session_cache off|none|builtin:size|shared:name:size  
  2. 使用环境:main,server  
  3. 缓存类型:  
  4. off -- 硬关闭,nginx明确告诉客户端这个会话不可重用  
  5. none -- 软关闭,nginx告诉客户端会话能够被重用,但是nginx实际上不会重用它们  
  6. bultin -- openssl内置缓存,仅可用于一个工作进程.可能导致内存碎片  
  7. shared -- 所有工作进程的共享缓存。(1)缓存大小用字节数指定(2)每个缓存必须拥有自己的名称(3)同名的缓存可用于多个虚拟主机  
优化示例
[html]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. #优化ssl服务  
  2. ssl_session_cache   shared:wzy:10m;   
  3. #客户端能够重复使用存储在缓存中的会话参数时间  
  4. ssl_session_timeout  10m;  
    ldongxu
    关注
    • 3
      点赞
    • 8
      收藏
      觉得还不错? 一键收藏
    • 2
      评论
    专栏目录
    Nginx配置SSL自签名证的方法
    09-30
    主要介绍了Nginx配置SSL自签名证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    Nginx搭建https服务器教程
    01-10
    HTTPS简介 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单来讲就是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系,用于安全的http数据传输。https使用的默认端口是443. SSL类型简介 要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证请求(包括自己的公钥),你的公司证明材料以及费用到一个证颁发机构(CA).CA验证
    Nginx配置SSL
    最新发布
    krb___的博客
    03-25 1186
    SSL(Secure Sockets Layer)是一种用于保护在Internet上进行数据传输的加密协议。它是一种为网络通信提供安全性的协议,最初由网景公司(Netscape)开发。SSL的目标是通过对数据进行加密和身份验证,确保敏感信息在用户与网站之间的传输中得到保护。SSL通过在通信的两端之间建立安全的连接来实现其目标。这个安全连接使得通过互联网传输的数据在被发送和接收时都是加密的,从而防止第三方拦截和窃取敏感信息。
    Nginx使用自签证的操作文档整理
    xhuiting的博客
    10-20 374
    Nginx操作文档整理 1. 下载: 2. 安装相关依赖包 yum install -y gcc pcre-devel openssl-devel zlib-devel 3. 创建nginx用户,解压源码包,开始编译安装 解压: tar -xvf nginx-1.19.2.tar.gz 重命名: mv nginx-1.19.2 nginx cd nginx 编译的时候用来指定程序存放路径: ./configure --prefix=/usr/local/ngin...
    nginx(二十九)error.log记录报错信息分析
    热门推荐
    wzj_110的博客
    04-28 1万+
    一 汇总 nginx报错参考:'客户端报错'、'access.log'信息[一般非200场景]、'error.log'、'后端日志'综合考虑 ① 关键字 prematurely nginx报错信息:"upstream prematurely closed connection" 场景一: nginx'下载'超过'1G'大文件报错 ② 关键字 recv() failed 'error.log'报错信息: "recv() failed (104: Connectio...
    nginx配置https并自签名证
    brisling的博客
    12-03 558
    https
    Nginx搭建HTTPS服务器
    小一的专栏
    01-20 1万+
    HTTPS简介 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单来讲就是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系,用于安全的http数据传输。https
    linux 下生成ssl签证, 并配置nginx通过https访问
    weixin_54514751的博客
    04-06 2530
    因为映射了域名,需要升级为https,由于是IP地址访问,所以生成自签名证并设置nginx 三、使用openssl分别生成服务端和客户端的公钥及私钥 1、生成服务端私钥 2、生成服务端公钥 3、生成客户端私钥 4、生成客户端公钥 四、生成CA证 1、生成CA私钥 2、生成CA证签名请求文件CSR 3、使用私钥KEY文件和CSR文件签名生成CRT证 五、生成服务器端和客户端CRT证 1、生成服务端签名请求CSR文件 2、生成客户端签名请求CSR文件 这里服务端和客户端的Organi
    nginx 配置 ssl
    深海大冒险的博客
    10-28 5047
    nginx
    Nginx中实现自签名SSL生成与配置
    Katie_ff的博客
    09-07 2839
    本文 主要是Nginx 就可以使用自签名 SSL来启用 HTTPS,实现加密和安全的通信。需要注意的是,自签名 SSL不会受到公信任的证颁发机构(Certificate Authority)认可,因此浏览器会显示安全警告。在生产环境中,建议使用由受信任的证颁发机构签发的证来获得更高的安全性和可信度。
    局域网https自签名教程
    Stestack的博客
    02-28 1489
    们的客户是在内网环境里面,所以就只能用自签名证来搞,我一想这还不容易,就迅速的百度了一下随便找了个文章开始照猫画虎,很快就弄完了,但是弄完后发现还是有问题,而且https 还是报不安全,1、基于nginx版本1、证生成。
    Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法
    12-23
    HTTPS简介 HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS...要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证请求(包括自己的公钥),
    Nginx+SSL搭建 HTTPS 网站
    01-20
    一、HTTPS 是什么?...HTTPS 目前已经是所有注重隐私和安全的网站的首选,随着技术的不断发展,HTTPS 网站已不再是大型网站的专利,所有普通的个人站长和博客均可以自己动手搭建一个安全的加密的网站。 如
    教你搭建http php java服务器+ssl=https网站,Linux+Nginx-Apache PHP-Tomcat java+SSL.zip
    01-10
    手把手教你搭建https服务器,部署ssl到php java服务器(Nginx-Apache PHP-Tomcat java+SSL) 1.购买免费的SSL 2.下载SSL 3.往nginx上新增ssl 4.往Apache上新增ssl 5.往Tomcat上新增ssl 6.解决警告 7....
    二进制部署K8s集群:(2) 设定自签证
    阿蔡的博客
    10-14 793
    设定自签证,证生成工具有很多,如openssl,这里使用cfssl生成工具。 cfssl是一个开源的证管理工具,使用json文件生成证,相比openssl更方便使用,找任意一台主机操作即可,这里在master节点操作。 一、安装CFSSL 由于CFSSL系列的工具都是独立的二进制文件,所以下载相应的二进制文件并赋予权限即可。 [root@master1 cert]# wget -c https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 [root@mast
    nginx配置自签名的ssl(轻松实现https连接)
    Mr.ACO的专栏
    04-16 8152
    在我们的博客搭建好了之后呢,通过域名访问会提示不安全,那么怎么解决这个问题呢。我们可以通过对我们的域名申请ssl来解决。还是以视频为主,这个文字更多的是一些用到的指令的罗列吧。 在开始之前我们要保证etc/ssl目录存在,用于保存我们的私钥和证文件。 没有则新建目录etc/ssl 1 mkdir etc/ssl 编辑nginx的配置文件 1 vim /usr/local/nginx/conf/nginx.
    创建并部署自签名的 SSLNginx
    qq1353424111的博客
    01-15 644
    自签名的 SSL(self-signed SSL certificate),就是未经过权威第三方认证的 SSL,常常用作测试 https 连接之用。当用户访问使用这种 SSL的网站时,往往会被提示“该网站的 SSL未被认证!”。使用 CloudFlare 的 CDN 加速可以解决这个问题,CloudFlare 可以将你的网站的内容缓存到其分布全球的 CDN 节点上,而当用户...
    win7 localhost 配置 nginx ssl自签名证
    ____
    03-01 1150
    步骤 1)下载并安装openssl 下载windows版本的openssl解压缩到本地。 下载地址:http://gnuwin32.sourceforge.net/packages/openssl.htm 这里选择的是:Binaries (*.zip) 2)生成ssl 进入目录,运行openssl.exe,输入如下生成脚本,假设文件生成到d:/ssl目录 OpenSSL> req -x5...
    Android—HTTPS部署自签名证
    #请假条的博客
    02-14 1547
    Android 作为客户端https 通信,通常需要一个SSLContext, SSLContext 需要配置一个 TrustManager,如果是双向通信,还需要一个KeyManager。KeyManager 负责提供证和私钥,证发给服务端校验。双向认证 TrustManager + KeyManager。TrustManager 负责校验服务端发来的证。单向认证 TrustManager。二、Android 客户端的配置。一、生成自签名私有证
    使用nginx搭建服务器
    09-12
    使用Nginx搭建服务器的步骤如下: 1. 首先,生成私钥与证,这可以通过进入Nginx的配置文件目录来完成。例如,你可以使用以下命令进入配置文件目录:cd /usr/local/mynginx/conf/ 2. 接下来,进行Nginx的安装和...

    “相关推荐”对你有帮助么?

    • 非常没帮助
    • 没帮助
    • 一般
    • 有帮助
    • 非常有帮助
    提交
    评论 2
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值