欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

nginx結(jié)合openssl實現(xiàn)https的方法

 更新時間:2021年07月23日 10:19:06   作者:七月七日清  
這篇文章主要介紹了基于nginx結(jié)合openssl實現(xiàn)https的方法,準(zhǔn)備工作大家需要安裝nginx服務(wù),具體操作過程跟隨小編一起看看吧

在未使用SSL證書對服務(wù)器數(shù)據(jù)進(jìn)行加密認(rèn)證的情況下,用戶的數(shù)據(jù)將會以明文的形式進(jìn)行傳輸,這樣一來使用抓包工具是可以獲取到用戶密碼信息的,非常危險。而且也無法驗證數(shù)據(jù)一致性和完整性,不能確保數(shù)據(jù)在傳輸過程中沒被改變。所以網(wǎng)站如果有涉及用戶賬戶等重要信息的情況下通常要配置使用SSL證書,實現(xiàn)https協(xié)議。

在生產(chǎn)環(huán)境中的SSL證書都需要通過第三方認(rèn)證機(jī)構(gòu)購買,分為專業(yè)版OV證書(瀏覽器地址欄上不顯示企業(yè)名稱)和高級版EV(可以顯示企業(yè)名稱)證書,證書所保護(hù)的域名數(shù)不同也會影響價格(比如只對www認(rèn)證和通配*認(rèn)證,價格是不一樣的),且不支持三級域名。測試中可以自己作為證書頒發(fā)機(jī)構(gòu)來制作證書,瀏覽器會顯示為紅色,代表證書過期或者無效,如果是黃色的話代表網(wǎng)站有部分連接使用的仍然是http協(xié)議。

不管使用哪種方法,在拿到證書后對Nginx的配置都是一樣的,所以這里以搭建OpenSSL并制作證書來進(jìn)行完整說明

一、準(zhǔn)備環(huán)境

1)nginx服務(wù)

2)ssl模塊

[root@ns3 ~]# systemctl stop firewalld
[root@ns3 ~]# iptables -F
[root@ns3 ~]# setenforce 0
[root@ns3 ~]# yum -y install pcre zlib pcre-devel zlib-devel
[root@ns3 ~]# tar xf nginx-1.16.0.tar.gz -C /usr/src/
[root@ns3 ~]#cd /usr/src/nginx-1.16.0
[root@ns3 ~]#./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module&&make && make install #后續(xù)需要的模塊一次性安裝

3)檢測openssl是否安裝

[root@ns3 ~]# rpm -qa openssl 2 openssl-1.0.1e-42.el7.x86_64

若沒有安裝

[root@ns3 ~]# yum -y install openssl openssl-devel

二、創(chuàng)建根證書CA

1、生成CA私鑰

[root@ns3 ~]# cd zhengshu/
[root@ns3 zhengshu]# openssl genrsa -out local.key 2048
Generating RSA private key, 2048 bit long modulus
...........................................................................................................................................................................................................................+++
............................................................................................................................................................................................+++
e is 65537 (0x10001)
[root@ns3 zhengshu]# ls
local.key

 2、生成CA證書請求

[root@ns3 zhengshu]# openssl req -new -key local.key -out local.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN  #國家
State or Province Name (full name) []:BJ   #省份
Locality Name (eg, city) [Default City]:BJ  #城市
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:test   #部門
Common Name (eg, your name or your server's hostname) []:test   #主機(jī)名
Email Address []:test@test.com  #郵箱

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:wuminyan  #密碼
An optional company name []:wuminyan  #姓名
[root@ns3 zhengshu]# ls
local.csr  local.key
req: 這是一個大命令,提供生成證書請求文件,驗證證書,和創(chuàng)建根CA
 -new: 表示新生成一個證書請求
 -x509: 直接輸出證書
 -key: 生成證書請求時用到的私鑰文件
 -out:輸出文件

3、生成CA根證書

這個生成CA證書的命令會讓人迷惑
1.通過秘鑰 生成證書請求文件
2.通過證書請求文件 生成最終的證書
 -in 使用證書請求文件生成證書,-signkey 指定私鑰,這是一個還沒搞懂的參數(shù)
[root@ns3 zhengshu]# openssl x509 -req -in local.csr -extensions v3_ca -signkey local.key -out local.crt
Signature ok
subject=/C=CN/ST=BJ/L=BJ/O=Default Company Ltd/OU=test/CN=test/emailAddress=test@test.com
Getting Private key

三、根據(jù)CA證書創(chuàng)建server端證書

1、生成server私匙

[root@ns3 zhengshu]# openssl genrsa -out my_server.key 2048
Generating RSA private key, 2048 bit long modulus
.................................+++
.........................................+++
e is 65537 (0x10001)
[root@ns3 zhengshu]# ls
local.crt  local.csr  local.key  my_server.key

2、生成server證書請求

[root@ns3 zhengshu]# openssl x509 -req -in local.csr -extensions v3_ca -signkey local.key -out local.crt
Signature ok
subject=/C=CN/ST=BJ/L=BJ/O=Default Company Ltd/OU=test/CN=test/emailAddress=test@test.com
Getting Private key
[root@ns3 zhengshu]# openssl genrsa -out my_server.key 2048
Generating RSA private key, 2048 bit long modulus
.................................+++
.........................................+++
e is 65537 (0x10001)
[root@ns3 zhengshu]# openssl req -new -key my_server.key -out my_server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BJ
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your server's hostname) []:test
Email Address []:test@test.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:wuminyan
An optional company name []:wuminyan
[root@ns3 zhengshu]# ls
local.crt  local.csr  local.key  my_server.csr  my_server.key

3、生成server證書

[root@ns3 zhengshu]# openssl x509 -days 365 -req -in my_server.csr -extensions v3_req -CAkey local.key -CA local.crt -CAcreateserial -out my_server.crt
 Signature ok
 subject=/C=CN/ST=BJ/L=BJ/O=Default Company Ltd/OU=test/CN=test/emailAddress=test@test.com
 Getting CA Private Key

四、配置nginx支持SSL

[root@ns3 ~]# vim /etc/nginx.cof      #這里設(shè)置了一個軟連接:lln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
server {
        listen 80;
        listen       443 default  ssl;  #監(jiān)聽433端口
                keepalive_timeout 100;  #開啟keepalive 激活keepalive長連接,減少客戶端請求次數(shù)

                   ssl_certificate      /root/zhengshu/local.crt;   #server端證書位置
                   ssl_certificate_key  /root/zhengshu/local.key;   #server端私鑰位置

                        ssl_session_cache    shared:SSL:10m;         #緩存session會話
                        ssl_session_timeout  10m;                    # session會話    10分鐘過期

                   ssl_ciphers  HIGH:!aNULL:!MD5;
                   ssl_prefer_server_ciphers  on;

        server_name   test.com;
        charset utf-8;

        location / {
            root   html;
            index  index.html index.htm;
        }

    }
}

五、測試

輸入https://192.168.200.115

到此這篇關(guān)于nginx結(jié)合openssl實現(xiàn)https的文章就介紹到這了,更多相關(guān)nginx實現(xiàn)https內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Nginx多個前端服務(wù)配置方式詳解

    Nginx多個前端服務(wù)配置方式詳解

    這篇文章主要介紹了Nginx多個前端服務(wù)配置方式,主要包括多個location配置,多個server配置,配置方式本文給大家介紹的非常詳細(xì),感興趣的朋友一起看看吧
    2022-03-03
  • nginx+lua+redis防刷和限流的實現(xiàn)

    nginx+lua+redis防刷和限流的實現(xiàn)

    本文將介紹如何使用nginx lua redis實現(xiàn)防刷和限流,首先,我們將了解防刷和限流的基本概念和必要性,然后,我們將詳細(xì)介紹如何使用nginx lua redis實現(xiàn)防刷和限流,感興趣的可以了解一下
    2023-09-09
  • nginx獲取真實的ip的方法

    nginx獲取真實的ip的方法

    在實際應(yīng)用中,我們可能需要獲取用戶的ip地址,比如做異地登陸的判斷等等,本文主要介紹了nginx獲取真實的ip的方法,具有一定的參考價值,感興趣的可以了解一下
    2023-08-08
  • Nginx網(wǎng)站服務(wù)過程詳解

    Nginx網(wǎng)站服務(wù)過程詳解

    Nginx是一款高性能、異步非阻塞工作模式、輕量級Web服務(wù)軟件,這篇文章主要介紹了Nginx網(wǎng)站服務(wù)的相關(guān)知識,需要的朋友可以參考下
    2023-06-06
  • Nginx在胖容器中的部署流程

    Nginx在胖容器中的部署流程

    胖容器(Fat Container)是一種容器技術(shù)的形態(tài),它在傳統(tǒng)的輕量級容器基礎(chǔ)上進(jìn)行了擴(kuò)展和增強(qiáng),Nginx是一款高性能的HTTP和反向代理web服務(wù)器,本文將給大家介紹Nginx在胖容器中的部署流程,需要的朋友可以參考下
    2024-04-04
  • nginx proxy_redirect的作用及說明

    nginx proxy_redirect的作用及說明

    這篇文章主要介紹了nginx proxy_redirect的作用及說明,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2024-06-06
  • Nginx實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)的步驟詳解

    Nginx實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)的步驟詳解

    外網(wǎng)瀏覽器與內(nèi)網(wǎng)是不通的,但是外網(wǎng)與中間過渡服務(wù)器是通的,中間過渡服務(wù)器與內(nèi)網(wǎng)服務(wù)器是通的,這樣在外網(wǎng)訪問過渡服務(wù)器時,過渡服務(wù)器再跳轉(zhuǎn)到后臺服務(wù)器,本文給大家介紹了Nginx外網(wǎng)訪問內(nèi)網(wǎng)如何實現(xiàn)步驟,需要的朋友可以參考下
    2023-10-10
  • Nginx+Windows搭建域名訪問環(huán)境的操作方法

    Nginx+Windows搭建域名訪問環(huán)境的操作方法

    這篇文章主要介紹了Nginx搭建域名訪問環(huán)境,包括nginx配置文件的相關(guān)介紹及對nginx配置文件的分析,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2022-03-03
  • nginx內(nèi)存池源碼解析

    nginx內(nèi)存池源碼解析

    內(nèi)存池是在真正使用內(nèi)存之前,預(yù)先申請分配一定數(shù)量的、大小相等(一般情況下)的內(nèi)存塊留作備用,接下來通過本文給大家介紹nginx內(nèi)存池源碼,本文通過實例代碼給大家介紹的非常詳細(xì),需要的朋友參考下吧
    2021-11-11
  • 基于nginx實現(xiàn)上游服務(wù)器動態(tài)自動上下線無需reload的實現(xiàn)方法

    基于nginx實現(xiàn)上游服務(wù)器動態(tài)自動上下線無需reload的實現(xiàn)方法

    這篇文章主要介紹了基于nginx實現(xiàn)上游服務(wù)器動態(tài)自動上下線無需reload,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2021-02-02

最新評論