1、为什么需要HTTPS?
原因:HTTP不安全
- 传输数据被中间人盗用、信息泄漏
- 数据内容被劫持、篡改
2、HTTPS协议的实现(发送方对明文加密,接收方进行解密)
对称(同个密钥)加密和非对称(两串不同密钥)加密。
客户端发起SSL连接,服务器端保存唯一私钥,发送公钥给客户端,客户端发送对称密码(发送对称密码利用公钥加密)。
客户端对数字证书进行CA校验
1、如果校验成功则利用公钥加密。
2、如果校验失败则停止会话。
3、生成密钥和CA证书
验证服务器安装
openssl version
nginx -v
生成key密钥
cd /usr/local/nginx/
mkdir ssl_key
cd ssl_key/
openssl genrsa -idea -out jesonc.key 1024
输入密码
生成证书签名请求文件(csr文件)
openssl req -new -key jesonc.key -out jesonc.csr
输入相关信息
生成证书签名文件(ca文件)
3650代表10年有效期
openssl x509 -req -days 3650 -in jesonc.csr -signkey jesonc.key -out jesonc.crt
Nginx的HTTPS语法配置
server {
listen 443 ssl;
server_name localhost;
ssl_certificate /usr/local/nginx/ssl_key/jesonc.crt;
ssl_certificate_key /usr/local/nginx/ssl_key/jesonc.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root /usr/local/nginx/html/dist;
index index.html index.htm;
try_files $uri $uri/ /index.html;
}
}
- 验证conf文件是否符合规则
./nginx -tc /usr/local/nginx/conf/nginx.conf
问题解决:Nginx 未引入 SSL 模块
配置苹果要求的证书
- 服务器所有的连接使用TSL1.2以上版本(openssl 1.0.2)
- HTTPS证书必须使用Sha256以上哈希算法签名
- HTTPS证书必须使用RSA 2048位或ECC256位以上公钥算法
- 使用前向加密技术
查看openssl版本
openssl version
查看证书的加密签名方法
openssl x509 -noout -text -in ./jesonc.crt
生成算法证书
openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout jesonc.key -out jesonc_apple.crt
证书生成后其余按上述配置即可。