【Nginx】如何使用自签CA配置HTTPS加密反向代理访问?看了这篇我会了!!(1)

最新推荐文章于 2024-04-25 16:44:33 发布
最新推荐文章于 2024-04-25 16:44:33 发布
阅读量805 收藏 12
点赞数 23
分类专栏: 程序员 文章标签: nginx https 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84048935/article/details/137903581
版权
本文详细介绍了如何在Nginx中使用本机OpenSSL自签名CA证书实现HTTPS,包括服务器准备、访问流程、自签名证书生成和NGINX配置。同时提及了Java开发者的学习资源,提供了一份全面的开发学习资料包链接。
摘要由CSDN通过智能技术生成

Nginx实现HTTPS

出于安全访问考虑,采用的CA是本机Openssl自签名生成的,因此无法通过互联网工信Root CA验证,所以会出现该网站不受信任或安全证书无效的提示,直接跳过,直接访问即可!

HTTPS的原理和访问过程

服务器必要条件

  • 一个服务器私钥 KEY文件

  • 一张与服务器域名匹配的CA证书(公钥,根据私钥key生成)

访问过程

(1)客户端浏览器通过https协议访问服务器的443端口,并获得服务器的证书(公钥);客户端浏览器这时候会去找一些互联网可信的RootCA(权威证书颁发机构)验证当前获取到的证书是否合法有效,PS:这些RootCA是随操作系统一起预设安装在了系统里面的;

(2)如果RootCA验证通过,表示该证书是可信的,并且若证书中标注的服务器名称与当前访问的服务器URL地址一致,就会直接使用该证书中包含的公钥解密服务器通过自己的KEY(私钥)加密后传输过来的网页内容,从而正常显示页面内容;

(3)如果RootCA验证不通过,说明该证书是未获得合法的RootCA签名和授权,因此也就无法证明当前所访问的服务器的权威性,客户端浏览器这时候就会显示一个警告,提示用户当前访问的服务器身份无法得到验证,询问用户是否继续浏览!(通常自签名的CA证书就是这种情况)

这里需要注意,验证CA的有效性,只是证明当前服务器的身份是否合法有效,是否具有公信力以及身份唯一性,防止其他人仿冒该网站;但并不会影响到网页的加密功能,尽管CA证书无法得到权威证明,但是它所包含的公钥和服务器上用于加密页面的私钥依然是匹配的一对,所以服务器用自己的私钥加密的网页内容,客户端浏览器依然是可以用这张证书来解密,正常显示网页内容,所以当用户点击“继续浏览此网站(不推荐)”时,网页就可以打开了;

自签名CA证书生成

1.用Openssl随机生成服务器密钥,和证书申请文件CSR

2.自己给自己签发证书

在服务器命令行输入如下命令办法证书。

#opensslx509 -req -days 3650 -in moonfly.net.csr -signkeymoonfly.net.key -outmoonfly.net.crt

  • -days 3650 证书的有效期,自己给自己颁发证书,想有多久有效期,就弄多久,我一下弄了10年的有效期;

  • -inmoonfly.net.csr指定CSR文件

  • -signkeymoonfly.net.key指定服务器的私钥key文件

  • -outmoonfly.net.crt 设置生成好的证书文件名

一条命令,自己给自己压钢印的身份证 moonfly.net.crt 就诞生了!

注:其实严格来讲,这里生成的只是一张RootCA,并不是严格意义上的服务器证书ServerCA,真正的ServerCA是需要利用这张RootCA再给服务器签署办法出来的证书才算;不过我们这里只讲如何实现网页的SSL加密,所以就直接使用RootCA了,也是能正常实现加密功能的!

NGINX配置启用HTTPS并配置加密反向代理

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)

img

读者福利

分享一份自己整理好的Java面试手册,还有一些面试题pdf

不要停下自己学习的脚步

字节跳动的面试分享,为了拿下这个offer鬼知道我经历了什么

字节跳动的面试分享,为了拿下这个offer鬼知道我经历了什么

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
3402204284)]

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!

2401_84048935
关注
  • 23
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx使用ssl模块配置支持HTTPS访问的方法
09-30
Nginx是一款高性能的HTTP和反向代理服务器,支持HTTPS协议可以为网站提供安全的数据传输,这通常通过SSL/TLS加密来实现。Nginx需要使用到SSL模块来支持SSL/TLS,而SSL模块在编译Nginx时不是默认安装的。配置Nginx...
使用nginxhttps)为(http)做反向代理.zip
03-19
通过以上步骤,你可以实现使用Nginx进行HTTPS到HTTP的反向代理,为用户提供安全HTTPS访问,同时保持内部通信的效率。记住,对于生产环境,应使用权威CA颁发的SSL证书,而非自签证书,以获得浏览器的信任。同时,...
自签证书与加/解密
weixin_43460239的博客
06-21 1748
自签证书是指使用自己的证书颁发机构(Certificate Authority,CA)来生成和颁发证书,而不是依赖于公共的第三方CA。与使用受信任的第三方CA不同,自签证书的信任链由自己管理,因此在信任方面可能存在一些挑战。创建自签证书颁发机构(CA):首先,您需要创建自己的证书颁发机构,也就是私有CA。这个CA将负责颁发和管理您自己的证书。您可以使用工具(如OpenSSL)生成自己的CA证书和私钥
nginx快速配置自签SSL域名证书
平庸
04-30 1245
为域名配置自签的SSL证书
Nginx使用自签证书发布https网站
zhongxj183的博客
08-22 746
Nginx使用自签证书发布https网站
Nginx解决通过openssl自签证书访问Https报不安全告警的问题
冰之杍的博客
05-10 5180
定义自签证书扩展文件(解决chrome安全告警)。在默认情况下生成的证书一旦选择信任,在 Edge, Firefox 等浏览器都显示为安全,但是Chrome仍然会标记为不安全并警告拦截,这是因为 Chrome 需要证书支持扩展 Subject Alternative Name, 因此生成时需要特别指定 SAN 扩展并添加相关参数,将下述内容放到一个文件中,命名为private.ext。
自己做CA自签证书生成
热门推荐
cuitone的专栏
02-27 1万+
转载自:https://wangbin.io/blog/it/https-ca.html 自己做CA 最近chrome提示https证书错误,缺少subjectAltName,查了下解决方法,更新下。  一. 简介 之前我的博客支持https使用的是向StartCom CA申请签发的一年免费证书。StartCom是受信赖的CA机构,它的根证书被各种操作系统和浏览器内置信任,所以由它签发...
自建CA并生成自签名SSL证书
AlbertS Home of Technology
11-30 5454
这是加密认证系列的第五篇文章了,本来我是想把自建证书nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
Nginx服务器配置HTTPS nginx.config 配置文件(教程)
09-30
Nginx作为一款高性能的HTTP和反向代理服务器,支持配置HTTPS来实现这一目标。本教程将详细介绍如何配置Nginx服务器以启用HTTPS功能,主要涉及`nginx.conf`配置文件的编辑。 首先,我们需要准备两个关键文件:SSL...
nginx https 配置
11-23
"nginx https 配置"这个主题涉及到的是如何在Nginx上设置HTTPS服务,以实现网站安全访问HTTPS是HTTP协议的安全版本,通过使用SSL/TLS协议来加密数据传输,确保用户与服务器之间的通信不被中间人攻击。 首先,...
nginx反向代理
07-07
综上所述,这个Nginx压缩包提供了在Windows环境中快速部署反向代理服务器的基础,包括HTTPS支持和预配置证书,使得服务器能够安全地代理HTTP和HTTPS请求。同时,Nginx强大的功能,如负载均衡、缓存和健康检查,...
自签CA证书HTTPS)生成流程
a123560mh的博客
01-30 809
自签CA证书HTTPS)生成流程
Autosar之自签证书CA证书
喜欢打篮球的普通人
05-29 1517
验证完整性主要依赖于消息摘要算法的特性,摘要算法的原理是根据一定的运算规则提取原始数据中的信息,被提取的信息就是原始数据的消息摘要,也称为数据指纹。对一份数据,进行一个单向的 Hash 函数,生成一个固定长度的 Hash 值,这个值就是这份数据的摘要著名的摘要算法有 MD5 算法和 SHA 系列算法。摘要算法具有以下特点:一致性: 相同数据多次计算的摘要是相同的,不同的数据(在不考虑碰撞时)的摘要是不同的;不可逆性: 只能正向提取原始数据的摘要,无法从摘要反推出原始数据;
Nginx 配置 SSL(HTTPS)详解
最新发布
小楼一夜听春雨,深巷明朝卖杏花
04-25 9274
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS访问使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
CA如何自签证书及颁发证书
小菜鸟的天地
08-12 5654
证书 1.CA自签证书 cd /etc/pki/CA/private 生成密钥: [root@station116 private]# openssl genrsa 2048 > ca.key Generating RSA private key, 2048 bit l
SSL双向认证-自签CA证书生成
localhost
09-14 637
注意这里的Common Name不要与服务器证书或客户端证书的域名相同,这里使用 root。SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。邮箱地址,比如 test@qq.com。邮箱地址,比如 test@qq.com。所在公司的部门拼音,比如 yanfa。所在公司的部门拼音,比如 yanfa。地市拼音,比如 guangzhou。地市拼音,比如 guangzhou。公司名称拼音,比如 test。域名或者ip,比如 root。公司名称拼音,比如 test。密码,比如 123456。
利用OpenSSL自签证书CA颁发证书
11-14 712
其中,-CA参数指定CA证书,-CAkey参数指定CA私钥,-CAcreateserial参数表示生成一个新的序列号文件,-out参数指定输出的证书文件名,-days参数表示证书的有效期。OpenSSL是一个开源的加密工具包,可以用于生成自签证书和颁发证书。在生成证书请求时,需要填写证书的信息,包括国家、地区、组织、单位、通用名称等。其中通用名称应该是您的域名或IP地址。该命令将使用私钥和证书请求生成自签证书。将自签证书的CSR文件发送给CA,由CA颁发证书。在生成证书请求时,也需要填写证书的信息。
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8875
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
nginx 1.6.1版本配置https
lengjianan2006的博客
10-23 1553
采坑,1、不用ssl on; 2、listen 443 后面要加ssl; server { listen 443 ssl; server_name www.aaaa.com; root html; index index.html index.htm; server_tokens off; ...
nginx反向代理配置https双机负载均衡
08-25
***反向代理配置https双机负载均衡的问题,您可以按照以下步骤进行配置: 1. 安装nginx:首先确保已经在服务器上安装了nginx。您可以使用适用于您操作系统的包管理器进行安装,或者从nginx官方网站下载并手动安装。 2. 生成SSL证书:为了启用HTTPS,您需要为每个后端服务器生成SSL证书。您可以使用公开的CA证书颁发机构)签名证书,或者使用自签证书。这里以自签证书为例,在服务器上执行以下命令: ```shell openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /path/to/private.key -out /path/to/certificate.crt ``` 这将生成一个私钥文件 `private.key` 和一个证书文件 `certificate.crt`。 3. 配置nginx:打开 nginx配置文件 `nginx.conf`,一般位于 `/etc/nginx/nginx.conf` 或 `/usr/local/nginx/conf/nginx.conf`。确保以下配置已添加或修改: ```nginx http { # ... upstream backend { server backend1.example.com; server backend2.example.com; } server { listen 443 ssl; server_name yourdomain.com; ssl_certificate /path/to/certificate.crt; ssl_certificate_key /path/to/private.key; location / { proxy_pass http://backend; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 可选:添加其他的代理设置 # ... } } } ``` 在上述配置中,`backend1.example.com` 和 `backend2.example.com` 是您的后端服务器的域名或IP地址,您可以根据实际情况进行修改。 4. 重启nginx:保存并关闭 `nginx.conf` 文件。然后使用以下命令重启nginx服务: ```shell sudo service nginx restart ``` 或者 ```shell sudo systemctl restart nginx ``` 这样就完成了nginx反向代理配置https双机负载均衡。现在,当用户访问 `yourdomain.com` 时,nginx将会根据负载均衡算法将请求转发到后端服务器,并通过HTTPS进行加密传输。 请注意,上述示例中的配置仅供参考,请根据您的实际需求进行适当的修改。同时,确保您的后端服务器已经正确配置和运行,并监听适当的端口。 希望以上信息对您有所帮助!如有任何疑问,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值