沿用练习三,配置基于加密网站的虚拟主机,实现以下目标:
- 域名为www.c.com
- 该站点通过https访问
- 通过私钥、证书对该站点所有数据加密
4.2 方案
源码安装Nginx时必须使用–with-http_ssl_module参数,启用加密模块,对于需要进行SSL加密处理的站点添加ssl相关指令(设置网站需要的私钥和证书)。
加密算法一般分为对称算法、非对称算法、信息摘要。
对称算法有:AES、DES,主要应用在单机数据加密。
非对称算法有:RSA、DSA,主要应用在网络数据加密。
信息摘要:MD5、sha256,主要应用在数据完整性校验、数据秒传等。
4.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:配置SSL虚拟主机
1)生成私钥与证书 - [root@proxy ~]# cd /usr/local/nginx/conf
- [root@proxy ~]# openssl genrsa > cert.key //生成私钥
- [root@proxy ~]# openssl req -new -x509 -key cert.key > cert.pem //生成证书
2)修改Nginx配置文件,设置加密网站的虚拟主机 - [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- … …
- server {
-
listen 443 ssl;
-
server_name www.c.com;
-
ssl_certificate cert.pem; #这里是证书文件
-
ssl_certificate_key cert.key; #这里是私钥文件
-
ssl_session_cache shared:SSL:1m;
-
ssl_session_timeout 5m;
-
ssl_ciphers HIGH:!aNULL:!MD5;
-
ssl_prefer_server_ciphers on;
-
location / {
-
root html;
-
index index.html index.htm;
-
}
-
}
3)重启nginx服务
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
- #请先确保nginx是启动状态,否则运行该命令会报错,报错信息如下:
- #[error] open() “/usr/local/nginx/logs/nginx.pid” failed (2: No such file or directory)
步骤二:客户端验证
1)修改客户端主机192.168.4.10的/etc/hosts文件,进行域名解析 - [root@client ~]# vim /etc/hosts
- 192.168.4.5 www.c.com www.a.com www.b.com
2)登录192.168.4.10客户端主机进行测试 - [root@client ~]# firefox https://www.c.com //信任证书后可以访问