Nginx系列-9 Nginx配置HTTPS

已于 2024-07-28 15:41:25 修改
阅读量838 收藏 21
点赞数 29
分类专栏: Nginx系列 文章标签: nginx https
于 2024-07-25 20:53:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sheng_Q/article/details/140566212
版权

1.nginx编译

#下载资源
wget http://nginx.org/download/nginx-1.26.0.tar.gz

# 解压资源
tar -zxvf nginx-1.26.0.tar.gz

# 编译nginx
cd nginx-1.26.0/
./configure  --prefix=/usr/local/ewen/nginx --with-http_ssl_module
./make

# 安装nginx
./make install

其中,--with-http_ssl_module表示编译时引入ssl模块。

2.生成私钥和制作证书

对SSL不熟悉的同学可以参考:TLS/SSL协议介绍。这里进行简单描述:消息在公网上传输需要进行加密,以保证信息的安全性。加密有对称加密和非对称加密两种;对称加密使用同一个秘钥进行加密和解密;非对称加密使用一对秘钥进行加解密。对称加密相对于非对称加密速度快、效率高。
在HTTPS握手过程,服务端会将证书(公钥和CA信息)发送给客户端;客户端使用CA信息验证证书的合法性,然后随机生成一个秘钥,并使用证书中携带的公钥对该生成的秘钥加密,然后发送给服务端;服务端使用私钥进行解密,得到秘钥;之后,双方使用这个对称加密的秘钥进行信息的加解密。
因此,需要服务端需要准备一个证书和一个私钥

[1] 生成私钥

# 生成私钥:生成一个2048 位的 RSA 私钥,保存为server.key文件
openssl genrsa -out server.key 2048

[2] 生成csr文件

# 生成证书:基于server.key私钥生成一个新的证书保存为server.csr文件
openssl req -new -key server.key -out server.csr

生成过程要求交互式地输入国/省/市/组织,姓名/邮件等信息,如下所示:

[root@localhost 2024]# openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Jiangsu
Locality Name (eg, city) [Default City]:NanJing
Organization Name (eg, company) [Default Company Ltd]:testOrg
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your server's hostname) []:Ewen
Email Address []:shengyu@buaa.edu.cn

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

[3] 使用私钥和CSR生成自签名证书

# 使用私钥和CSR生成自签名证书  
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

X.509是一种广泛使用的公钥证书格式, -days 365设置证书的有效期为365天。
至此,得到两个文件:server.crt证书文件和server.key私钥。

3.配置

可以配置在http块(对整个http块生效)或者server块,配置方式如下:

# 证书文件路径
ssl_certificate      ./cert/server.crt;

# 私钥文件路径
ssl_certificate_key  ./cert/server.key;

http_ssl_module模块还提供一些其他配置参数,用于定义SSL握手的细节:
[1] ssl_session_cache
定义缓存大小,用于存放会话信息, 如加密秘钥等,

# 使用一个名为SSL的共享缓存,其大小为1MB
ssl_session_cache   shared:SSL:1m;

[2] ssl_session_timeout
定义会话的超时时间: 在这个时间内,如果客户端重新连接到服务器且会话ID不变,可以通过缓存中恢复会话,则不需要经过SSL握手;

# 设置SSL会话的过期时间为10分钟
ssl_session_timeout  10m;

说明: SSL会话被创建后,如果在这10分钟内没有任何活动,那么该会话将被视为过期,并且后续的连接会进行完整的SSL握手过程。

[3] ssl_protocols
指定了Nginx服务器支持的SSL/TLS协议版本。

说明: TLSv1和TLSv1.1已经被认为是不安全的SSL/TLS协议版本

#支持TLSv1.2和TLSv1.3版本的SSL/TLS协议
ssl_protocols TLSv1.2 TLSv1.3;

[4] ssl_ciphers
指定了Nginx服务器在SSL/TLS握手过程中将使用的密码套件列表。

# 这是一个强密码套件, 包括ECDHE密钥交换、RSA签名、AES-128-GCM加密算法和SHA-256哈希算
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!aNULL:!MD5;

[5] ssl_prefer_server_ciphers
指定了在SSL/TLS握手过程中,Nginx服务器是否优先使用服务器配置的密码套件列表,而不是客户端支持的密码套件列表。

#这有助于确保使用更强的加密算法和协议版本,而不是客户端可能支持的较旧或较弱的选项。 
ssl_prefer_server_ciphers on;

此时,如果有些客户端不支持服务器指定的加密算法,则客户端会连接失败。所以ssl_prefer_server_ciphers是否设置为on,需要结合业务场景在安全性和兼容性方面做选择。

4.案例介绍

修改nginx.conf配置文件:

http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;

    server {
        # 监听端口后添加ssl表示https端口
        listen       8443 ssl;
        server_name  localhost;
        
        #相对于conf文件夹路径
        ssl_certificate  cert/server.crt;
        ssl_certificate_key  cert/server.key;

        location /query {
            proxy_pass http://localhost:8000/ask;
        }
    }

    server {
        listen       8000;
        server_name  localhost;

        location /ask {
            return 200 "from 8002/ask";
        }
    }
}

测试结果如下所示:

[root@124 conf]# curl -k https://localhost:8443/query
from 8002/ask[root@124 conf]#
Ewen Seong
关注
  • 29
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx配置https
qq_42952532的博客
04-04 234
我是 阿里云的服务器与域名,网站是用django写的,用nginx部署到服务器上 先说问题,配置https之后,用https访问,加载的静态文件是我原项目的静态文件,用http访问,加载的静态文件是我后采集的静态文件,现在没有直接的解决办法,间接的解决办法是在nginx配置http强转https,用rewrite方法, 对于遇到的问题,请教各路大神 下面写如何配置https 控制台里点域名 ...
Nginx配置https
qq_3316359388的博客
04-10 123
1.nginx配置https的时候,需要两个东西:(此两样需购买) 一个key,私钥。放在nginx服务器里面,仅此一份 一个证书,公钥,供浏览器去下载。 配置方式如下图: 2.环境要求: 先查看nginx版本信息,命令:nginx -V 有–with-http_ssl_module,表示安装了https模块。否则需要重新安装。 3.配置https方式之后,对http请求重定向(可不配置) 在https里,ajax请求普通http,会报错(原因:会降低安全) 4.配置 server {
nginx配置+https
12-10
nginx配置+https
nginx.conf中配置https
Leon_Jinhai_Sun的博客
10-29 427
nginx.conf中配置server段, 将证书mycert.pem和私钥pem添加到指定文件中 server { listen 443 ssl; ssl on; ssl_certificate cert/mycert.crt; ssl_certificate_key cert/privatekey.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ...
Neginx配置
wujianjun6932的专栏
03-08 1125
./configure \ --prefix=/usr/local/nginx \ --pid-path=/var/run/nginx/nginx.pid \ --lock-path=/var/lock/nginx.lock \ --error-log-path=/var/log/nginx/error.log \ --http-log-path=/var/log/nginx/acces
Nginx实现https-文件下载服务器
m0_37699444的博客
05-10 7294
一、 功能描述 1、 Nginx作为web中间件,可以为我们提供文件下载功能,实现访问强制下载文件。 2、 为nginx实现https,需要我们修改nginx端口,并利用openssl自签证书即可。 3、 准备:nginx服务器一台、域名一个。 二、 实施步骤 1、 实现文件下载功能 Nginx支持文件下载功能,可作为文件下载服务器。只需在server下,定义好根目录,并将文件放在其目录下...
nginx配置https协议
cjy5821的博客
08-17 250
一、我们用的是阿里云的服务器,所以直接在管理中心生成域名对应的.pem和.key文件,放在服务器指定文件夹内,我放在cert文件夹内 二、打开/etc/nginx/nginx.conf,以下是写在http{}内 upstream test{ #内网IP:端口 server 10.51.0.235:1001; } server { #监听的80端口 list...
nginx-1.19.3_nginx-http-flv-module.rar
09-01
虽然这两个协议与FLV不是直接关联,但它们同样用于流媒体服务,可能暗示这个Nginx配置也考虑到了这些协议的支持。 压缩包子文件的文件名"nginx-1.19.3_Compiled"表示包含了编译好的Nginx服务器,这通常包括配置文件...
Nginx -- -- 配置SSL证书
m0_54594153的博客
09-02 2270
此选项创建一个新的证书请求和一个新的私钥。该参数采用以下几种形式之一。2048 是代表位数 位数越多越安全 常见的有 2048、4096。然后用源码中刚刚编译好的nginx把安装目录中的nginx替换。重启,测试访问http://www.kya.com。-x509 签发x509格式证书命令。-days 3650 时间=10 年。不要make install。req 表示证书输出的请求。-new表示新的请求。
nginx-1.19.6_nginx-http-flv-module(64位)
11-27
用户只需将这些文件解压到适当的位置,然后根据配置需求修改`conf`目录下的配置文件nginx.conf。 **Nginx的目录结构** - **nginx.exe**: 这是Nginx服务器的主要可执行文件,负责启动和管理Nginx服务。 - **conf**:...
nginx配置 +负载均衡+https协议
05-05
nginx配置 +负载均衡+https协议 完整的配置以及nginx 启动 停止 重新加载
详解Nginx配置SSL证书实现Https访问
01-10
背景 由于项目需求,安全起见,需要将之前的http接口访问变成https访问,所以需要配置SSL证书。项目的架构是这样的: 基本架构是硬负载(ReadWhere)+ 软负载(Nginx)+ Tomcat集群,现在的问题是SSl证书要配置在哪里,直接配置在硬负载上?还是分别配置Nginx和Tomcat上?还是其他的配置方法呢? 首先在硬负载上配置放弃了,然后通过在网上查找资料,发现可以只在Nginx配置证书,就是说Nginx接入使用Https,而Nginx与Tomcat之间使用Http进行衔接,这样就游了一个整体思路。 关于SSL证书 关于SSL证书这里简单进行介绍,也是因为项目需要,进
nginx-1.19.3-http-flv.zip
10-16
2. 整体打包,已配置nginx.conf的http-flv直播流,以及http web环境。无需任何配置即可使用 3. 自带windows的服务注册程序,使用如下方式,将nginx注册为windows的服务,实现无人值守维护管理 windows服务注册: 1...
nginx图片服务器配置https配置
07-24
nginx图片服务器配置https配置
Nginx配置HTTPS和IPV6(保姆级教程)
最新发布
m0_59302132的博客
01-24 4900
安装nginx “/data/nginx” 为安装路径 ,这里与nginx安装包路径区分开来,可以将安装路径替换成自定义路径。https默认端口为443,所以配置https必须保证服务器的443端口可以通过防火墙。如果Nginx已经安装完成,打算添加上述两个模块,那么可以按照下面的步骤进行安装配置。进入nginx安装目录下的sbin文件夹下,输入命令检查nginx是否安装成功。地址:https://nginx.org/en/download.html。解压安装包,进入解压后的Nginx安装包目录。
Nginx下载和安装配置
qq_20025777的博客
11-28 1080
【代码】Nginx下载和安装配置
nginx https实战配置
热门推荐
风的专栏
09-03 1万+
原理参考:https://blog.csdn.net/mynamepg/article/details/79074766 网站 HTTP 升级 HTTPS 完全配置手册   Nginx + Tomcat + HTTPS 配置原来不需要在 Tomcat 上启用 SSL 支持 https 加密那点事漫画(挺不错,来自公众号码农有道) 实战: ////////////////////////...
nginx--HTTPS服务
别浪
04-14 1132
1.http不安全2.传输数据被中间人盗用、信息泄露3.数据内容劫持、篡改。
Windows与Linux环境下Nginx HTTPS-Tomcat HTTP代理部署教程
本文档主要介绍了如何在Windows和Linux环境下配置Nginx以实现HTTPS协议的反向代理到Tomcat的HTTP服务。以下是详细的步骤: 一、Windows环境 1. 安装Nginx: - 参考链接:[CSDN文章]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值