nginx搭建https服务器

HTTPS简介

HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道，简单来讲就是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

它是一个URI scheme（抽象标识符体系），句法类同http:体系，用于安全的http数据传输。https使用的默认端口是443.

ssl证书

证书类型简介

要设置安全服务器，使用公共钥创建一对公私钥对。大多数情况下，发送证书请求（包括自己的公钥），你的公司证明材料以及费用到一个证书颁发机构(CA).CA验证证书请求及您的身份，然后将证书返回给您的安全服务器。

但是内网实现一个服务器端和客户端传输内容的加密，可以自己给自己颁发证书，只需要忽略掉浏览器不信任的警报即可！

由CA签署的证书为您的服务器提供两个重要的功能：

• 浏览器会自动识别证书并且在不提示用户的情况下允许创建一个安全连接
• 当一个CA生成一个签署过的证书，它为提供网页给浏览器的组织提供身份担保。
• 多数支持ssl的web服务器都有一个CA列表，它们的证书会被自动接受。当一个浏览器遇到一个其授权CA并不在列表中的证书，浏览器将询问用户是否接受或拒绝连接

生成ssl证书

Html代码  

1. openssl genrsa -des3 -out wangzhengyi.key 2048  

Html代码  

1. openssl req -new -key wangzhengyi.key -out wangzhengyi.csr  

创建一个自己签署的CA证书

Html代码  

1. openssl req -new -x509 -days 3650 -key wangzhengyi_nopass.key -out wangzhengyi.crt  

搭建https虚拟主机

虚拟主机配置文件

Html代码  

1. upstream sslfpm {  
2.     server 127.0.0.1:9000   weight=10   max_fails=3 fail_timeout=20s;  
3. }  
4.   
5. server {   
6.     listen       192.168.1.*:443;   
7.     server_name  192.168.1.*;   
8.       
9.     #为一个server开启ssl支持  
10.     ssl                  on;  
11.     #为虚拟主机指定pem格式的证书文件  
12.     ssl_certificate      /home/wangzhengyi/ssl/wangzhengyi.crt;   
13.     #为虚拟主机指定私钥文件  
14.     ssl_certificate_key  /home/wangzhengyi/ssl/wangzhengyi_nopass.key;   
15.     #客户端能够重复使用存储在缓存中的会话参数时间  
16.     ssl_session_timeout  5m;  
17.     #指定使用的ssl协议   
18.     ssl_protocols  SSLv3 TLSv1;   
19.     #指定许可的密码描述  
20.     ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;   
21.     #SSLv3和TLSv1协议的服务器密码需求优先级高于客户端密码  
22.     ssl_prefer_server_ciphers   on;   
23.   
24.     location / {   
25.         root   /home/wangzhengyi/ssl/;  
26.         autoindex on;  
27.             autoindex_exact_size    off;  
28.             autoindex_localtime on;  
29.     }   
30.         # redirect server error pages to the static page /50x.html  
31.         #  
32.         error_page   500 502 503 504  /50x.html;  
33.         error_page   404 /404.html;  
34.   
35.     location = /50x.html {  
36.             root   /usr/share/nginx/www;  
37.         }  
38.     location = /404.html {  
39.             root   /usr/share/nginx/www;  
40.         }  
41.       
42.         # proxy the PHP scripts to fpm  
43.         location ~ \.php$ {  
44.         access_log  /var/log/nginx/ssl/ssl.access.log  main;  
45.         error_log /var/log/nginx/ssl/ssl.error.log;  
46.         root /home/wangzhengyi/ssl/;   
47.         fastcgi_param   HTTPS   on;  
48.             include /etc/nginx/fastcgi_params;    
49.             fastcgi_pass    sslfpm;  
50.         }  
51. }  

HTTPS服务器优化

方法

SSL操作需要消耗CPU资源，所以在多处理器的系统，需要启动多个工作进程，而且数量需要不少于可用CPU的个数。最消耗CPU资源的SSL操作是SSL握手，有两种方法可以将每个客户端的握手操作数量降到最低：

1. 保持客户端长连接，在一个SSL连接发送多个请求
2. 在并发的连接或者后续的连接中重用SSL会话参数，这样可以避免SSL握手操作。

会话缓存用于保存SSL会话，这些缓存在工作进程间共享，可以使用 ssl_session_cache指令进行配置。1M缓存可以存放约4000个会话。默认的缓存超时时间是5m，可以使用ssl_session_timeout加大它。

ssl_session_cache指令

Html代码  

1. 语法：ssl_session_cache off|none|builtin:size|shared:name:size  
2. 使用环境：main,server  
3. 缓存类型:  
4. off -- 硬关闭，nginx明确告诉客户端这个会话不可重用  
5. none -- 软关闭，nginx告诉客户端会话能够被重用，但是nginx实际上不会重用它们  
6. bultin -- openssl内置缓存，仅可用于一个工作进程.可能导致内存碎片  
7. shared -- 所有工作进程的共享缓存。（1）缓存大小用字节数指定（2）每个缓存必须拥有自己的名称（3）同名的缓存可用于多个虚拟主机  

优化示例

Html代码  

1. #优化ssl服务  
2. ssl_session_cache   shared:wzy:10m;   
3. #客户端能够重复使用存储在缓存中的会话参数时间  
4. ssl_session_timeout  10m;  

参考链接

http://nginx.org/cn/docs/http/configuring_https_servers.html