对网站进行HTTPS改造

已于 2022-12-17 15:59:27 修改
阅读量937 收藏 1
点赞数
分类专栏: Linux运维 Java 文章标签: https nginx ssl
于 2022-12-17 15:56:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C_0010/article/details/128353510
版权

背景

HTTP协议是明文传输的,而HTTPS是经过了证书认证和秘钥加密解密,所以在传输上来说更加安全。简言之,HTTPS = HTTP + SSL/TLS。那么怎么让我们自己的网站可以通过HTTPS协议访问呢?可以通过nginx代理来实现。

步骤

HTTPS改造步骤很简单,分为四步:

  • 安装nginx
  • 本地生成证书和公私钥并上传服务器
  • nginx配置代理和加密认证
  • 重启nginx
1、安装nginx

nginx安装,在服务器上这里我们采取比较方便的rpm包的安装方式,上官方网站http://nginx.org/packages/centos/7/x86_64/RPMS/

因为我的服务器环境是centos7操作系统,架构是x86_64(可以使用uname -a查看)。所以我选择nginx-1.20.0-1.el7.ngx.x86_64.rpm这个包。

把包上传到服务器后使用rpm ivh nginx-1.20.0-1.el7.ngx.x86_64.rpm,其他安装方式可自行度娘。

2、生成证书和公私钥

这里我们使用keytool生成,keytool是JDK自带的工具,大家也可以去一些云服务厂商,例如阿里云申请免费的HTTPS证书。JDK生成过程中会需要输入一些信息,比如单位名称和用户信息。keytool生成命令如下:

# 1、生成秘钥,在e盘新建keystore目录
keytool -genkey -alias uat -keypass password -keyalg RSA -keysize 1024 -validity 365 -keystore E:/keystore/uat.keystore -storepass password
# 2、导出证书
keytool -export -alias uat -keystore E:/keystore/uat.keystore -storepass password -rfc -file E:/keystore/uat.cer

效果如图示:
在这里插入图片描述

以上步骤完成后现在我们在E:/keystore/目录下有两个文件uat.ceruat.keystore。接下来需要用Java代码解析出秘钥:

try {
            BASE64Encoder encoder = new BASE64Encoder();
            //读取文件内容
            FileInputStream is = new FileInputStream("E:/keystore/uat.keystore");
            KeyStore ks = KeyStore.getInstance("JKS");
            ks.load(is, "password".toCharArray());
            PrivateKey key = (PrivateKey) ks.getKey("uat", "password".toCharArray());
            String encoded = encoder.encode(key.getEncoded());
            System.out.println(encoded);
            is.close();
        } catch (Exception e){
            e.printStackTrace();
        }

复制控制台输出内容,将内容粘贴到自己新建的uat.key的文件中,格式需要自己改下加上头和尾,下面给出我自己可用uat.key的例子:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

完成上述步骤我们得到了两个文件:uat.ceruat.key。在nginx配置目录下/etc/nginx/再新建一个文件夹keystore,将两个文件上传到新建的文件下/etc/nginx/keystore/

3、配置nginx

列出nginx配置如下,部分配置可按自己需求进行更改,比如说我这里要将本地的8080服务改造HTTPS访问,配置如下:

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log notice;
pid        /var/run/nginx.pid;

events {
    worker_connections  1024;
}

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;

    # ssl on; #开启SSL
    # ssl_certificate /etc/nginx/keystore/uat.cer; #SSL证书
    # ssl_certificate_key /etc/nginx/keystore/uat.key; #SSL密钥
    
    server{
      listen 443 ssl;
      server_name 127.0.0.1:8080;
      # ssl on;
      ssl_certificate /etc/nginx/keystore/uat.cer; #SSL证书
      ssl_certificate_key /etc/nginx/keystore/uat.key; #SSL密钥
      
      # limit request body size
      client_max_body_size 100m;
      location / {
        proxy_pass http://127.0.0.1:8080;
        # proxy_set_header X-Forwarded-For $remote_addr;
      }
    }
    
    server {
       listen 80;
       server_name 127.0.0.1:8080;
       #将请求转成https
       rewrite ^(.*)$ https://$host$1 permanent;
    }
}

IP可根据自己实际情况进行修改,在配置的时候只需要配置服务的IP和端口,url的后缀无需配置。上述配置就是把https://127.0.0.1:80的请求代理到http://127.0.0.1:8080。在访问的时候只要是https://127.0.0.1:80起头的请求,nginx都会代理到http://127.0.0.1:8080

4、重启nginx

因为我们是rpm包安装的,nginx已经注册成服务,所以可以使用systemctl restart nginx。如果是其他方式安装的可以使用nginx -s reload重启nginx。下面我们访问https://127.0.0.1就可以出现访问http://127.0.0.1:8080一样的效果了!

道友可以在博客下方留言互相探讨学习或者关注公众号fairy with you了解更多,欢迎来撩!

在这里插入图片描述

注:本博客仅用于交流学习,不用于任何商业用途,欢迎思维碰撞。
程序员阿斌
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 Nginx 实现 HTTPS 网站设置
愿许浪尽天涯的博客
08-22 7502
首先在这里简单说一下为什么现在都在使用 HTTPS 协议: 其实使用 HTTPS 协议最大的原因就是因为 HTTP 协议不安全,因为 HTTP 数据传输时是:明文传输数据 也就是说当客户端在输入用户名和密码时,都会显示出来。而 HTTPS 协议的话则是 密文传输数据 就是在传输数据时会进行加密。
https 改造
Floyd的专栏
01-06 2168
目前开发的网站是普通的http网站,为了提高网站安全性,大概主要有三种方法 1.应用自行对传递的数据进行加密处理 优点:灵活性非常高 缺点:上传下载的流数据没法在浏览器中进行干扰(除非使用flash等插件,这里主要指用form提交下载数据),所以无法保证这种数据的安全。    提高了系统复杂度。 2.使用VPN保证数据安全 优点:本人认为这是最安全的方式,速度快 缺点:要求所有访问系
手把手教你Nginx 配置 HTTPS 完整过程_nginx htps(1),2024年最新字节跳动大神讲座
最新发布
2401_83946196的博客
04-20 1194
(img-tfB2Pb56-1713603164643)]需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注运维)#将请求转成https
前端改https
weixin_52418790的博客
11-09 482
修改vue项目build目录下webpack.dev.conf.js文件 在原30行的位置增加https:true语句 修改87行语句,将http改为https 运行
https通信过程中,第三方是如何修改我们的数据?应对策略又是怎样的?
challenglistic的博客
08-18 425
https通信过程中,第三方是如何修改我们的数据?应对策略又是怎样的?
再见 HTTP?10 分钟手把手教会你将网站切换到 HTTPS,安全有保障,yyds!
沉默王二
08-06 1万+
CSDN 的小伙伴们,大家好,我是刚脱离险境的二哥呀! 很久(大概两年)之前,我就搞了一个独立的个人博客网站,长下面这样。 大家有访问过的,可以在评论区扣 1 可惜一直没搞备案和 HTTPS,导致每次访问都提示不安全,感觉怪别扭的,见上图中红色框框部分。 鉴于整体 PV 只有区区的 18 万+,我也就一直懒得搞。 直到有一天,我看到了小傅哥的个人博客 https://bugstack.cn/,风格和我一样,但却是 HTTPS 的,我就坐不住了。 我这人平常很佛系,但遇到别人比自己好的时候,总是忍不住偷
tesla-safe-web:网站改版 https
07-23
"tesla-safe-web"项目旨在对特斯拉的官方网站进行安全升级,主要关注将网站从HTTP转换为HTTPS,以增强用户数据的安全性。在这个过程中,HTML(超文本标记语言)作为网站构建的基础,扮演着至关重要的角色。 首先,...
114黄页信息网站系统 v5.1
06-19
- **后台管理**:管理员拥有权限对信息进行审核、修改、删除,维护信息准确性和网站秩序。 3. **安全性与隐私保护** - 系统应具备数据加密技术,保护用户信息不被泄露,如采用HTTPS协议进行数据传输。 - 用户...
WEB系统安全开发和改造规范
11-11
本规范主要关注WEB安全的规划、架构设计以及网站的安全治理,旨在为XX局的WEB开发与改造提供指导。安全措施涵盖了从服务器到通信信道的保护,但不涉及客户端的安全问题。 4.1 Web安全风险分类 Web安全风险主要分为...
一个适合政府网站的整站源码
07-13
在这个特定的案例中,这个源码是针对政府统计类网站进行过定制和优化的,因此它可能包含了一系列与政府统计相关的功能模块。 首先,政府统计类网站的核心在于数据展示和分析。源码可能会内置了数据导入、处理和可视...
uniwatch:Uniwatch 网站回购
06-20
在IT行业中,网站回购通常指的是对原有网站进行改进或重构的过程,以提升用户体验、增强功能或适应新的技术趋势。 【描述】"优衣库 这是我们的 Uniwatch 项目!"暗示了Uniwatch项目可能与优衣库这家知名的服装品牌...
http改成https的个人总结--以备以后使用
热门推荐
小白白的博客
12-26 1万+
在阿里云上申请免费的CA证书,申请就不详细介绍了,可以看阿里云上的步骤,当申请下来后就可以下载证书了,这个时候就要配置服务器上的配置文件了,我的服务器上设置nginx了,所以就在nginx配置证书,在nginx安装目录下新建文件夹(这里根据阿里云上的步骤就可以自己配置);还要上传下载的证书里的两个文件。配置好后重启nginx。然后把项目里引用的js和css的相对路径要改。原来的是http的改成ht
http升级https的一些坑(Nginx)
苍舒的博客
09-04 8137
获取证书 升级到https第一步就是获取一张证书。 阿里云有免费的SSL证书(据说可以一个账号可以申请20个?) 然后申请步骤跳过。。。 申请完成大概就是酱紫的 点击下载进入到证书下载页面 证书放好 修改配置 官方默认给的配置如下 server { listen 443; server_name localhost; ssl on; ...
nginx配置http 改为 https(Windows10版)
gaokcl的博客
08-01 1万+
1,申请ssl,数字证书,得到  key与pem:  将其放到   nginx/conf目录下 , 2,修改nginx/conf\vhost  对应项目的  .conf文件(没有,自建)【注意,项目文件夹  与  nginx文件夹  同目录】 2-2,【】里的  替换你自己的 server {         listen       80;         listen       ...
http 改造 https
04-15 923
1、进行nginx配置,原始的http方式不能丢弃。以免未改全 2、https页面不能发起http请求 图片的请求一般是单独的请求,特别需要关注一下 nginx配置日志,观察http请求是否完成,没有http请求之后再将 http请求强制转成https请求 ...
网站https改造实战记录
weixin_34362790的博客
01-27 172
主要介绍一下,https改造的相关考虑和改造实施流程。 主要以下几点考虑: 1:最主要的就是更安全,能有效防止劫持。 遇到过因劫持导致angularjs页面空白的问题: angurlarjs1.5.5 ui-view加载模板被替换导致空白(cookie/flashcookie.swf ) 有朋友看网站的时候,说提示劫持,我擦这哪行,必须改https 2:搜索排名更好 3:趋势 4:http站点看不...
App中HTTPS设置
YoungForever
01-20 1万+
为了安全方面的考虑,项目想改用HTTPS进行数据传输.目前项目所用的网络请求是AFN2.6版本的,默认不支持HTTPS网址进行数据请求,错误代码:2016-01-20 08:49:00.780 TestHttps[1494:30088] CFNetwork SSLHandshake failed (-9824) 2016-01-20 08:49:00.781 TestHttps[1494:30088
对一个nginxhttps改造
04-07
1. 生成SSL证书和私钥 首先,我们需要生成SSL证书和私钥。可以使用openssl工具来生成。 ```bash openssl req -newkey rsa:2048 -nodes -keyout domain.key -x509 -days 365 -out domain.crt ``` 这个命令会生成一个2048位的RSA密钥对和一个自签名的SSL证书。可以根据需要修改证书的有效期。 2. 配置nginx支持httpsnginx的配置文件中,需要添加以下内容来支持https: ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; ... } ``` 其中,listen指定监听的端口为443,也就是https协议的默认端口。ssl_certificate和ssl_certificate_key分别指定SSL证书和私钥的路径。ssl_protocols和ssl_ciphers用来指定SSL协议和加密算法,可以根据实际需求设置。其他的nginx配置可以根据需要进行修改。 3. 重启nginx 配置完毕后,需要重启nginx服务,使其生效。可以使用以下命令来重启nginx: ```bash sudo systemctl restart nginx ``` 4. 配置防火墙 如果服务器上开启了防火墙,需要添加规则允许https流量通过。可以使用以下命令来添加规则: ```bash sudo ufw allow https ``` 这样,nginxhttps服务就已经配置完成了。可以在浏览器中访问https://example.com来测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值