使用 Nginx 搭建 HTTPS 服务器

最新推荐文章于 2024-04-25 17:45:34 发布
最新推荐文章于 2024-04-25 17:45:34 发布
阅读量433 收藏
点赞数
分类专栏: 运维 SSL Nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FrancisHe/article/details/72871877
版权
运维 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
Nginx
3 篇文章 0 订阅
订阅专栏
SSL
2 篇文章 0 订阅
订阅专栏

目录

SSL/TLS client/server 交互过程浅析

握手阶段

server 下发证书给 client, 证书中包含 server 的公钥(public key), 但证书是使用第三方私钥加密的(这里的私钥不是 server 的私钥,通常为 CA 机构的私钥,不做特殊说明,本文默认证书是 CA 机构签发的证书),client 拥有 CA 机构的公钥,因此可以解密证书,获取 server 下发的公钥。

client 获取到 server 的公钥之后使用该公钥加密 premaster secret 发送给 server, server 使用自己的私钥解密 premaster secret.

client 和 server 使用相同的算法将 premaster secret 转换成 master secret, 该密钥用于通信阶段。

通信阶段

client 和 server 使用握手阶段协商的 master secret 加密数据。

综上,非对称加密、证书用于握手阶段,对称加密用于通信阶段。

向 CA 机构申请 SSL/TLS 证书

由上文可知,证书中包含了 server 的公钥,因此,向 CA 机构申请证书时需要提交 server 的公钥, CA 机构用自己的私钥加密该公钥及其他信息生成证书。

天威诚信为例:
使用 AutoCSR 工具生成私钥(server.key)和证书请求文件(certreq.csr, 其中包含了 server 的公钥及其他相关信息), server.key 需要自己保管,certreq.csr 需要提交给天威诚信,天威诚信会返回如下信息:

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

其中包含了三个证书,我们将其保存为 server.crt.

配置 Nginx

server.keyserver.crt 放到 nginx 配置文件目录下,nginx 配置文件内容如下:

    server {
        listen      2107 ssl;
        server_name www.example.com;

        # Enable all protocols except SSL 2 and SSL 3, which are obsolete and insecure.
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        # Have the server decide what suites to use.
        ssl_prefer_server_ciphers on;

        # This cipher suite configuration uses only suites that provide forward security, in the order that provides the best performance.
        ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

        # Server private key.
        ssl_certificate_key server.key;

        # Certificates; server certificate first, followed by all required intermediate certificates, but excluding the root.
        ssl_certificate server.crt;

        # ...
    }
FrancisHe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器Nginx配置
SherrybabyOne的博客
05-06 3076
使用的是ubuntu云服务器,简单配置一下服务器 一、连接到服务器上 ssh @xx.xx.xxx.xxx //服务器外网IP地址 然后按照提示输入密码即可 二、使用Nginx: sudo apt-get update //更新软件源 sudo apt-get install nginx //安装nginx nginx -v //检查是否安装成功 登录阿里云,确认域名解析到了服务器I...
使用nginx搭建https服务器
Candy_3的专栏
01-04 2542
最近在研究nginx,整好遇到一个需求就是希望服务器与客户端之间传输内容是加密的,防止中间监听泄露信息,但是去证书服务商那边申请证书又不合算,因为访问服务器的都是内部人士,所以自己给自己颁发证书,忽略掉浏览器的不信任警报即可。下面是颁发证书和配置过程。 首先确保机器上安装了openssl和openssl-devel #yum install openssl #yum install opens
centos下使用nginx搭建https服务器
u013216667的博客
12-05 2958
HTTPS简介HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单来讲就是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个URI scheme(抽象标识符体系),句法类同http:体系,用于安全的http数据传输。https使用的默
nginx搭建https服务
zhangge3663的博客
11-30 1610
参考链接:https://www.cnblogs.com/dreamingodd/p/7357029.html Https、OpenSSL自建CA证书及签发证书、nginx单向认证、双向认证及使用Java访问 0.环境 本文的相关源码位于 https://github.com/dreamingodd/CA-generation-demo  必须安装nginx,必须安装openssl,(...
nginx配置https
最新发布
Aspiring_boy的博客
04-25 392
nignx配置https
Nginx搭建https服务器1
08-08
Nginx搭建https服务器 Nginx是一款流行的开源Web服务器软件,它支持多种协议,包括HTTP、HTTPS、SMTP、POP3等。在这篇文章中,我们将讲解如何使用Nginx搭建一个HTTPS服务器。 一、为什么需要HTTPSHTTPS...
Nginx搭建https服务器教程
01-10
https使用的默认端口是443. SSL证书 证书类型简介 要设置安全服务器使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA).CA验证
nginx搭建https服务器.docx编程资料
04-07
### Nginx 搭建 HTTPS 服务器详解 #### 一、HTTPS 协议简介 HTTPS(HyperText Transfer Protocol Secure)是一种基于 SSL/TLS 协议的 HTTP 安全版本,通过在 HTTP 基础上增加 SSL 层来实现数据加密传输。这不仅...
Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法
12-23
Https使用的默认端口是443。更多HTTPS原理可以参考阮一峰老师的文章:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html SSL证书 证书类型简介 要设置安全服务器使用公共钥创建一对公私钥对。大多数情况下,...
nginx手工搭建Https服务器
u014241231的博客
11-10 2343
最近工作中需要使用Nginx手动搭建一台https服务器,现将搭建步骤书写如下: 首先安装PCRE,其 作用是让 Nginx 支持 Rewrite 功能 1、下载 PCRE 安装包,下载地址:PCRE安装包 cd /usr/local/ wget http://downloads.sourceforge.net/project/pcre/pcre/8.35/pcre-8.35.tar.gz 2、解压安装包 tar zxvf pcre-8.35.tar.gz 3、进入安装包目...
nginx代理ftp服务器
yangyi139926的博客
03-24 1万+
nginx代理ftp
nginxhttps配置实现
那些年写过的代码
05-25 5186
最近在开发微信小程序,发现服务器都要求https,因此尝试将原有部署在阿里云上的服务切换为https形式的。
阿里云部署nginx服务器存储图片
lex_001的博客
12-24 1664
最近想将本地的代码部署到阿里云上, 1. 首先遇到的一个问题就是nginx服务器上传图片连接失败的问题。因为阿里云使用的不是iptables防火墙,而是firewalld防火墙。可以在阿里云中选择自己的实例,设置安全组,通过添加规则进行端口的管理。但是我在这里加入了允许TCP21端口还是连接失败,最后只能允许所有端口(应该相当于关闭防火墙吧),才能连接成功,还没发现更好的方法。 2. 然后又遇
SSH服务2——加密原理篇
frank_ci的博客
09-23 1706
window的加密原理 说SSH加密原理前,先说说windows的加密。在windows当中,一个文件是可以被加密的,右键—>属性—>常规—>高级这。只要勾选了“加密内容以便保护数据”,确定后,由于是使用管理员账户加密,而登录的时候使用的还是管理员账户,导致当使用非管理员账户时或者其他计算机尝试打开时,是不允许使用的。 这种加密非常的隐蔽,不像word加密那样,每次打开都需要你输密码,过一段时间都不记得这个文件加密过。当电脑出现故障需要重新安装系统时,虽然这个文件备份过,但是没有导出加密
浏览器低版本chrome内核(<50)访问不了某https网站,nginx配置ssl_ciphers加密选项
cheetahlover的博客
10-25 8000
最近遇到开发的某域名升级为https后手机qq浏览器、魅族自带浏览器等低版本chrome内核浏览器访问不了,在SSL诊断工具:https://www.ssllabs.com/ssltest/analyze.html 中诊断网站发现对比了一下该网站和另一网站的ssllabs的报告,区别地发现在Handshake Simulation中有标红的Chrome 49 / XP SP3 Server n
Nginx在云服务器的安装
qq_39609394的博客
07-30 2143
需要先安装wget、vim和gcc yum install wget yum install vim-enhanced yum install make cmake gcc gcc-c++ 1、下载nginx安装包 [root@xiao ~]# wget http://nginx.org/download/nginx-1.6.2.tar.gz --2017-04-07 01:44:5...
配置 Nginx SSL 避免不够安全的加密算法
热门推荐
warrior_wjl的专栏
05-04 4万+
如果Web服务中的SSL
ubuntu使用nginx搭建https
09-13
要在Ubuntu上使用Nginx搭建HTTPS,您需要遵循以下步骤: 1. 安装Nginx: ``` sudo apt update sudo apt install nginx ``` 2. 生成SSL证书和私钥: ``` sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt ``` 在生成证书的过程中,您需要填写一些相关信息,例如国家、城市、组织等。 3. 创建Diffie-Hellman群组: ``` sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 ``` 这个过程可能需要一些时间,请耐心等待。 4. 配置Nginx使用SSL: ``` sudo nano /etc/nginx/sites-available/default ``` 在打开的文件中,找到以下行并进行修改: ``` server { listen 443 ssl; ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt; ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key; ssl_dhparam /etc/ssl/certs/dhparam.pem; ... } ``` 5. 重新加载Nginx配置: ``` sudo systemctl reload nginx ``` 现在,您的Nginx服务器应该已经配置为使用HTTPS。可以通过访问您的服务器的IP地址或域名来验证。请注意,这是一个基本的配置示例,您可能需要根据自己的需求进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值