Nginx 实现 https

最新推荐文章于 2022-08-27 10:30:00 发布
最新推荐文章于 2022-08-27 10:30:00 发布
阅读量759 收藏
点赞数
分类专栏: Nginx 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a20251839/article/details/113571636
版权

3.4:Nginx 实现 https

3.4.1:构建私有 CA

证书颁发机构(CA, Certificate Authority);

这里生成一个私钥 Key 和 自签名的 crt 证书,将自己作为一个私有 CA,后续为自己颁发 CA 证书;

  • 生成私有 CA 的私钥和自签名证书:

umask 077:设置创建文件或目录时的 umask 为 077,即创建的文件权限为 600,目录权限为 700;

[root@node106 ~]# (umask 077; openssl req -newkey rsa:4096 -nodes -sha256 -keyout /etc/pki/CA/private/ca.key -x509 -days 3650 -out /etc/pki/CA/ca.crt)
Generating a 4096 bit RSA private key
...............................++
...........................................................................................................................................++
writing new private key to '/etc/pki/CA/private/ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Shanxi
Locality Name (eg, city) [Default City]:Taiyuan
Organization Name (eg, company) [Default Company Ltd]:yqc
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:yqc.ca
Email Address []:20251839@qq.com
  • 查看私钥和自签名 CA 证书:
[root@node106 ~]# ll /etc/pki/CA/private/ca.key
-rw------- 1 root root 3272 Dec  3 10:12 /etc/pki/CA/private/ca.key

[root@node106 ~]# ll /etc/pki/CA/ca.crt 
-rw------- 1 root root 2074 Dec  3 10:12 /etc/pki/CA/ca.crt

3.4.2:生成私钥和证书签署请求

csr 表示 Certificate Signature Request,证书签署请求;

  • 创建ssl目录(用于存放私钥和证书):
[root@node106 ~]# mkdir /apps/nginx/ssl
  • 生成私钥和csr:
[root@node106 ~]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout /apps/nginx/ssl/www.yqc.com.key -out /apps/nginx/ssl/www.yqc.com.csr
Generating a 4096 bit RSA private key
...................++
..........................++
writing new private key to '/apps/nginx/ssl/www.yqc.com.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Shanxi
Locality Name (eg, city) [Default City]:Taiyuan
Organization Name (eg, company) [Default Company Ltd]:yqc.com
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:www.yqc.com
Email Address []:20251839@qq.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • 查看生成的文件:
[root@node106 ~]# ll /apps/nginx/ssl/
total 8
-rw------- 1 root root 1740 Dec  3 10:27 www.yqc.com.csr
-rw------- 1 root root 3272 Dec  3 10:27 www.yqc.com.key

3.4.3:签发证书

  • 使用私有 CA 签发证书:
[root@node106 ~]# openssl x509 -req -days 3650 -in /apps/nginx/ssl/www.yqc.com.csr -CA /etc/pki/CA/ca.crt -CAkey /etc/pki/CA/private/ca.key -CAcreateserial -out /apps/nginx/ssl/www.yqc.com.crt
Signature ok
subject=/C=CN/ST=Shanxi/L=Taiyuan/O=yqc.com/OU=Ops/CN=www.yqc.com/emailAddress=20251839@qq.com
Getting CA Private Key
  • 验证证书序列号和登记内容:
[root@node106 ssl]# openssl x509 -in /apps/nginx/ssl/www.yqc.com.crt -noout -serial -subject      
serial=FA5590CFB34CBE92
subject= /C=CN/ST=Shanxi/L=Taiyuan/O=yqc.com/OU=Ops/CN=www.yqc.com/emailAddress=20251839@qq.com

[root@node106 ssl]# cat /etc/pki/CA/ca.srl 
FA5590CFB34CBE92

3.4.4:www.yqc.com 的 https 访问

  • 编辑配置文件:
[root@node106 ~]# vim /apps/nginx/conf.d/www.yqc.com.conf
server {
#  listen 192.168.1.106:80;
  listen 192.168.1.106:443;
  server_name www.yqc.com;
  ssl_certificate /apps/nginx/ssl/www.yqc.com.crt;
  ssl_certificate_key /apps/nginx/ssl/www.yqc.com.key;
  ssl_session_cache shared:sslcache:20m;
  ssl_session_timeout 10m;
  error_page 500 502 503 504 404 /error.html;
  access_log /data/nginx/logs/www-yqc-com_access_json.log format2;
  error_log /data/nginx/logs/www-yqc-com_error.log;
  gzip on;
  gzip_comp_level 3;
  gzip_min_length 1k;
  gzip_types text/plain text/html application/javascript application/x-javascript text/cssapplication/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
  gzip_vary on;
  
  location / {
    root /data/nginx/yqc/www;
    index index.html;
  }

  location = /error.html {
    root /data/nginx/yqc/redirect;
  }

  location = /status {
    stub_status;
    allow 192.168.1.0/24;
    allow 127.0.0.1;
    deny all;
  }
}
  • 检查配置文件并重载nginx:
[root@node106 ~]# nginx -t
nginx: the configuration file /apps/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /apps/nginx/conf/nginx.conf test is successful
[root@node106 ~]# systemctl reload nginx
  • 测试访问:

在这里插入图片描述

  • 继续访问:

在这里插入图片描述

  • 查看证书信息:

在这里插入图片描述

3.4.5:wap.yqc.com 的 https 访问

  • 生成私钥和证书签署申请:
[root@node106 ~]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout /apps/nginx/ssl/wap.yqc.com.key -out /apps/nginx/ssl/wap.yqc.com.csr
Generating a 4096 bit RSA private key
..........................................................................................................................++
..................................................................................++
writing new private key to '/apps/nginx/ssl/wap.yqc.com.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN      
State or Province Name (full name) []:Shanxi
Locality Name (eg, city) [Default City]:Taiyuan
Organization Name (eg, company) [Default Company Ltd]:yqc
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:wap.yqc.com
Email Address []:20251839@qq.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • 签发证书:
[root@node106 ~]# openssl x509 -req -days 3650 -in /apps/nginx/ssl/wap.yqc.com.csr -CA /etc/pki/CA/ca.crt -CAkey /etc/pki/CA/private/ca.key -CAcreateserial -out /apps/nginx/ssl/wap.yqc.com.crt
Signature ok
subject=/C=CN/ST=Shanxi/L=Taiyuan/O=yqc/OU=Ops/CN=wap.yqc.com/emailAddress=20251839@qq.com
Getting CA Private Key
  • 配置 nginx:
[root@node106 ~]# vim /apps/nginx/conf.d/wap.yqc.com.conf 
server {
#  listen 192.168.1.106:80;
  listen 192.168.1.106:443 ssl;
  server_name wap.yqc.com;
  ssl_certificate /apps/nginx/ssl/wap.yqc.com.crt;
  ssl_certificate_key /apps/nginx/ssl/wap.yqc.com.key;
  ssl_session_cache shared:sslcache:20m;
  ssl_session_timeout 10m;
  location / {
    root /data/nginx/yqc/wap;
  }
}
  • 检查配置文件并重置 nginx:
[root@node106 ~]# nginx -t
nginx: the configuration file /apps/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /apps/nginx/conf/nginx.conf test is successful
[root@node106 ~]# systemctl reload nginx
  • 验证访问:

在这里插入图片描述

学渣角鹿白
关注
专栏目录
nginx 搭建 https 实现
xiaowangzi756897098的专栏
05-09 743
1.首先下载nginx 2..安装nginx 3.安装openssl 插件 4.创建密钥,证书 5.配置密钥,证书,http转http转发 6.启动nginx 1.下载nginx wget -c https://nginx.org/download/nginx-1.10.1.tar.gz 2.安装nginx tar -zxvf nginx-1.10.1.tar.gz cd nginx-1.10.1 3.安装openssl插件 ./configure --with-http_ssl_m
Nginx实现https访问
weixin_56556552的博客
06-02 1317
Nginx配置免费的SSL证书实现https访问一、HTTP与HTTPS的介绍1.HTTP简介1.1HTTP是什么1.2HTTP 优点1.3HTTP的缺点2.HTTPS简介二、HTTP和HTTPS的主要区别三、nginx的安装四、阿里云SSL证书申请五、Nginx配置SSL证书实现https访问 一、HTTP与HTTPS的介绍 1.HTTP简介 1.1HTTP是什么 HTTP是超文本传输协议,也就是在一个计算机世界里专门在两点之间传输文字、图片、音频、视频等超文本数据的约定和规范。 1.2HTTP 优点
nginx实现https
月月大王的博客
06-23 671
今天记录一下使用nginx,来实现https的代理,这里需要两个文件(证书和密钥),我这里的证书和密钥是业务部门给过来的,所以直接拿过来用了,把证书放到conf文件夹下文件名对应上就可以了。...
nginx 实现 https
qq_21134059的博客
01-25 7505
这里写目录标题1 什么是 https2 https 的特点3 nginx 实现 https3.1 查看nginx 是否支持 https3.2 安装 ssl 模块3.3 配置 ssl 相关的配置4 Nginx的SSL相关指令4.1 ssl 1 什么是 https HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 [1] 。HTTPS
Nginx实现https
m0_56073773的博客
08-27 638
安装 nginx时,需要将–with-http_ssl_module 模块开启。新增以下 server标签(利用虚拟主机+rewrite的功能)在对应要进行加密的 server标签中添加以下内容开启 SSL。浏览器访问www.hdsh.com会重定向到https。如果安装nginx是没有安装ssl模块,可以后续添加。在主配置文件http域加入include标签。设置 http自动跳转 https功能。...
详解nginx实现https网站设置
09-30
【详解Nginx实现HTTPS网站设置】 在网络安全日益重要的今天,HTTPS已经成为网站必备的安全协议,它通过加密传输确保用户数据的隐私和安全。Nginx作为广泛应用的Web服务器,支持HTTPS配置,使得网站能够提供安全的...
Nginx实现https网站配置代码实例
01-09
**Nginx 实现 HTTPS 网站配置详解** HTTPS 是一种基于 SSL/TLS 协议的安全通信方式,主要用于加密互联网通信,确保数据传输的安全性。443 端口是 HTTPS 的标准端口,当您访问一个以 `https://` 开头的网址时,数据...
基于openssl 自行签发https 协议证书 openssl+nginx实现https自签有效加密实战记录
最新发布
03-30
"基于openssl自行签发https协议证书openssl+nginx实现https自签有效加密实战记录" 本篇文章主要讲述了使用openssl自行签发https协议证书,并使用nginx实现https自签有效加密的实战记录。文章包含了证书签发、nginx...
使用Nginx实现HTTPS双向验证的方法
09-30
在HTTP的安全通信中,涉及了单向和双向两种不同的身份验证方式,本文将主要讨论如何使用Nginx实现HTTPS的双向验证,以及单向和双向验证的区别和相关知识。 单向验证指的是客户端验证服务器端证书的有效性,确保通信...
详解Nginx配置SSL证书实现Https访问
01-10
背景 由于项目需求,安全起见,需要将之前的http接口访问变成https访问,所以需要配置SSL证书。项目的架构是这样的: 基本架构是硬负载(ReadWhere)+ 软负载(Nginx)+ Tomcat集群,现在的问题是SSl证书要配置在哪里,直接配置在硬负载上?还是分别配置在Nginx和Tomcat上?还是其他的配置方法呢? 首先在硬负载上配置放弃了,然后通过在网上查找资料,发现可以只在Nginx上配置证书,就是说Nginx接入使用Https,而Nginx与Tomcat之间使用Http进行衔接,这样就游了一个整体思路。 关于SSL证书 关于SSL证书这里简单进行介绍,也是因为项目需要,进
nginx https实现
莫忘、初心
12-23 1万+
openssl生产自认证的ca证书: https://zhaosongbin.blog.csdn.net/article/details/103662421 生成.key.nopassword nginx集成ssl需要使用证书文件.key 和 .crt文件来认证https接口 但是直接使用key文件时,启动nginx需要输入key的密码,比较麻烦 我们使用命令生产不需要输入密码的key [ro...
nginx实现https访问
驱赶愁绪
11-10 447
nginx实现https访问 创建服务器证书密钥文件 server.key: [root@localhost ~]# openssl genrsa -des3 -out server.key 1024 #输入密码,确认密码 创建服务器证书的申请文件 server.csr [root@localhost ~]# openssl req -new -key server.key -out server.csr #输出内容如下 Enter pass phrase for root.key: ← 输入前面
使用 Nginx 实现 HTTPS 网站设置
愿许浪尽天涯的博客
08-22 7593
首先在这里简单说一下为什么现在都在使用 HTTPS 协议: 其实使用 HTTPS 协议最大的原因就是因为 HTTP 协议不安全,因为 HTTP 数据传输时是:明文传输数据 也就是说当客户端在输入用户名和密码时,都会显示出来。而 HTTPS 协议的话则是 密文传输数据 就是在传输数据时会进行加密。
Nginx配置https实现
a1472750149的博客
11-25 4922
前言 本文主要介绍了Nginx配置https实现,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 目录 1: 准备https证书 2: 准备nginx ssl 模块 3: 配置 ssl证书 4: 浏览器 https 协议访问, 访问成功则 https 配置成功了。 1: 准备https证书 https 证书: 我是从华为领了一个一年的免费https证书。 下载证书 我们是配置 nginx 证书, 所以就拿nginx...
Linux下 nginx配置ssl证书实现https访问
热门推荐
Jioho的博客
08-08 3万+
配置ssl证书之前,先准备SSL证书,至于获取的途径很多(阿里云的服务,第三方服务购买)。这里不详细解释。以下是我的SSL证书 准备好证书后,找到nginx的安装目录,我的安装位置为:/usr/local/nginx 进入 config/nginx.conf 如果没有装winscp(一款可视化文件操作工具)的。可以通过命令行的方式,编辑nginx的config文件。 开始配置文件的...
nginx实现HTTPS
Kim_Weir的专栏
06-02 848
ssl原理使用https 通信时,我们在访问web服务器时,返回的数据包进行加密,从而保证数据安全。https的通信过程:(SSL就是那个服务器的证书,就是访问流程第二步服务器的公钥和私钥)生产ssl密钥对(这个自定义的ssl密钥对只能在本机上使用,不能用作在生产环境中)步骤:1.存放路径: cd /usr/local/nginx/conf/2.生成key文件为私钥openssl genrsa -...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值