{{ v.name }}
{{ v.cls }}类
{{ v.price }} ¥{{ v.price }}
Nginx自学手册(五)搭建https服务器
阅读:496
2019-03-19 14:44:02
来源:新网
(一)简介
https(hypertexttransferprotocoloversecuresocketlayer),是以安全为目标的http通道,简单来讲就是http的安全版。即http下加入ssl层,https的安全基础是ssl,因此加密的详细内容就需要ssl。
它是一个urischeme(抽象标识符体系),句法类同http:体系,用于安全的http数据传输。https使用的默认端口是443.
https协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
ssl证书类型简介:
要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(ca).ca验证证书请求及您的身份,然后将证书返回给您的安全服务器。
但是内网实现一个服务器端和客户端传输内容的加密,可以自己给自己颁发证书,只需要忽略掉浏览器不信任的警报即可!
由ca签署的证书为您的服务器提供两个重要的功能:
浏览器会自动识别证书并且在不提示用户的情况下允许创建一个安全连接
当一个ca生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。
多数支持ssl的web服务器都有一个ca列表,它们的证书会被自动接受。当一个浏览器遇到一个其授权ca并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接
(二)工作原理
https能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用https协议。
客户端在使用https方式与web服务器通信时有以下几个步骤,如图所示。
(1)客户使用https的url访问web服务器,要求与web服务器建立ssl连接。
(2)web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与web服务器开始协商ssl连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)web服务器利用自己的私钥解密出会话密钥。
(6)web服务器利用会话密钥加密与客户端之间的通信。
(三)https的优缺点:
1,优点:
(1)使用https协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
(3)https是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
(4)搜索排名更靠前。比起同等http网站,采用https加密的网站在搜索结果中的排名将会更高。
2,缺点:
1)https协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;
(2)https连接缓存不如http高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)ssl证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)ssl证书通常需要绑定ip,不能在同一ip上绑定多个域名,ipv4资源不可能支撑这个消耗。
(5)https协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,ssl证书的信用链体系并不安全,特别是在某些国家可以控制ca根证书的情况下,中间人攻击一样可行。
(四)nginx搭建https服务器
1,创建ssl证书
1.1生产私钥,opensslgenrsa-des3-outxn2.lqb.com.key2048。此命令将生成2048位的rsa私钥,使用des3算法,私钥文件名可任意命名,在nginx配置中指定文件路径即可,会提示设定私钥密码,请设置密码,并牢记。
[root@monitorssl]#opensslgenrsa-des3-outxn2.lqb.com2048generatingrsaprivatekey,2048bitlongmodulus..................................+++.......................................................+++eis65537(0x010001)enterpassphraseforxn2.lqb.com:verifying-enterpassphraseforxn2.lqb.com:
1.2以上生产的key是有密码的,如果把密码去除,执行如下命令opensslrsa-inxn2.lqb.com-outxn2.lqb.com_nopwd.key
[root@monitorssl]#lsxn2.lqb.com[root@monitorssl]#opensslrsa-inxn2.lqb.com-outxn2.lqb.com_nopwd.keyenterpassphraseforxn2.lqb.com:writingrsakey
1.3由已生产的私钥生成证书请求文件csr。opensslrsa-inxn2.lqb.com-outxn2.lqb.com_nopwd.key
[root@monitorssl]#opensslrsa-inxn2.lqb.com-outxn2.lqb.com_nopwd.keyenterpassphraseforxn2.lqb.com:writingrsakey[root@monitorssl]#opensslreq-new-keyxn2.lqb.com-outxn2.lqb.com.csrenterpassphraseforxn2.lqb.com:youareabouttobeaskedtoenterinformationthatwillbeincorporatedintoyourcertificaterequest.whatyouareabouttoenteriswhatiscalledadistinguishednameoradn.therearequiteafewfieldsbutyoucanleavesomeblankforsomefieldstherewillbeadefaultvalue,ifyouenter'.',thefieldwillbeleftblank.-----countryname(2lettercode)[au]:cnstateorprovincename(fullname)[some-state]:shanghailocalityname(eg,city)[]:shanghaiorganizationname(eg,company)[internetwidgitsptyltd]:xn2.lqb.comorganizationalunitname(eg,section)[]:itcommonname(e.g.serverfqdnoryourname)[]:xn2.lqb.comemailaddress[]:2223344@qq.compleaseenterthefollowing'extra'attributestobesentwithyourcertificaterequestachallengepassword[]:anoptionalcompanyname[]:[root@monitorssl]#lsxn2.lqb.comxn2.lqb.com.csrxn2.lqb.com_nopwd.key
1.4.证书请求文件csr文件必须有ca的签名才能形成证书,可以将此csr发给startssl(可免费)、verisign(一大笔钱)等地方由他来验证。也可以自己做ca,自己给自己颁发证书。创建一个自己签署的ca证书。opensslreq-new-x509-days3650-keyxn2.lqb.com-outxn2.lqb.com.crt
[root@monitorssl]#opensslreq-new-x509-days3650-keyxn2.lqb.com-outxn2.lqb.com.crtxn2.lqb.comxn2.lqb.com.csrxn2.lqb.com_nopwd.key[root@monitorssl]#opensslreq-new-x509-days3650-keyxn2.lqb.com_nopwd.key-outxn2.lqb.com.crtyouareabouttobeaskedtoenterinformationthatwillbeincorporatedintoyourcertificaterequest.whatyouareabouttoenteriswhatiscalledadistinguishednameoradn.therearequiteafewfieldsbutyoucanleavesomeblankforsomefieldstherewillbeadefaultvalue,ifyouenter'.',thefieldwillbeleftblank.-----countryname(2lettercode)[au]:cnstateorprovincename(fullname)[some-state]:shanghailocalityname(eg,city)[]:shanghaiorganizationname(eg,company)[internetwidgitsptyltd]:lqb.comorganizationalunitname(eg,section)[]:itcommonname(e.g.serverfqdnoryourname)[]:xn2.lqb.comemailaddress[]:[root@monitorssl]#lsxn2.lqb.comxn2.lqb.com.crtxn2.lqb.com.csrxn2.lqb.com_nopwd.key
2.配置nginx虚拟主机文件
[root@monitorssl]#vim../server.confserver{listen80;server_namexn2.lqb.com;root/html/xn2;#rewrite^/(.*)$https:xn3.lqb.com/$1permanent;location/{indexindex.html;#proxy_cachemycache;#proxy_cache_valid2003h;#proxy_cache_valid30130210m;#proxy_cache_validall1m;#proxy_cache_use_staleerrortimeouthttp_500http_502http_503;##proxy_passhttp://192.168.180.9;#proxy_set_headerhost$host;#proxy_set_headerx-real-ip$remote_addr;}location/images/{indexindex.html;}}server{listen*:443;server_namexn2.lqb.com;sslon;###位虚拟主机开启ssl支持ssl_certificate/usr/local/nginx/conf/server/ssl/xn2.lqb.com.crt;###为虚拟主机指定签名证书文件ssl_certificate_key/usr/local/nginx/conf/server/ssl/xn2.lqb.com_nopwd.key;###为虚拟主机指定私钥文件##ssl_session_timeout5m;####客户端能够重复使用存储在缓存中的会话参数时间root/html/xn3;location/images/{indexindex.html;}location/{proxy_passhttp://192.168.180.23;proxy_set_headerhost$host;proxy_set_headerx-real-ip$remote_addr;}}
3,在浏览器查看访问记录
nginx服务器访问日志:
{{ v.title }}