nginx--HTTPS服务

已于 2023-04-14 22:11:01 修改
阅读量1k 收藏 2
点赞数
分类专栏: nginx 文章标签: nginx 服务器 运维
于 2023-04-14 12:32:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adminBfl/article/details/130137873
版权

目录

1.为什么要使用https

2.https协议的实现

 1.对称加密

2.非对称加密

 3.https加密

 3.生成密钥和CA证书需要的依赖

1.查看是否有装openssl

 2.查看nginx是否有 --with-http_ssl_module

4.生成密钥和CA证书步骤

 步骤一、生成key密钥

 步骤二、通过密钥去生成证书签名请求文件(csr文件)

​编辑

步骤三、自签名生成证书签名文件(CA文件)

https配置语法

原default.conf

 修改后default.conf

停止启动访问

请求页面

 5.配置ios要求的https证书

 修改default.conf文件

6.阿里云申请免费证书

1.购买域名后打开域名列表

 2.解析选择填写域名前缀,填写自己的云服务器ip确认

 3.购买免费ssl证书填写好绑定的域名即可

 4.选择证书申请,会自动填写信息,提交审核过几分钟就会审核成功

 5.选择证书下载

6.选择nginx下载即可

 7.云服务器default.conf

8.重启测试

1.配置安全规则

 2.规则配置​编辑

 3.快速添加

 4.选择端口确认提交

 5.云服务器打开防火墙端口

 6.重启nginx

 7.通过域名访问测试

8.点击连接是安全的 ,复制出来地址也是https

 9.点击下面箭头查看证书详细内容

nginx安装

nginx--yum快速安装_别浪呀的博客-CSDN博客

1.为什么要使用https

1.http不安全

2.传输数据被中间人盗用、信息泄露

3.数据内容劫持、篡改

2.https协议的实现

1.对传输内容进行加密以及身份验证

 1.对称加密

加密密钥,解密密钥相同

2.非对称加密

两块不同的密钥

 3.https加密

1、客户端向服务端发起建立HTTPS请求。

2、服务器向客户端发送数字证书。

3、客户端验证数字证书,证书验证通过后客户端生成会话密钥(双向验证则此处客户端也会向服务器发送证书)。

4、服务器生成会话密钥(双向验证此处服务端也会对客户端的证书验证)。

5、客户端与服务端开始进行加密会话。

 3.生成密钥和CA证书需要的依赖

1.查看是否有装openssl

# 查看是否有装openssl
openssl version

rpm -qa | grep open

 

 

 2.查看nginx是否有 --with-http_ssl_module

nginx -V

4.生成密钥和CA证书步骤

步骤一、生成key密钥

步骤二、通过密钥去生成证书签名请求文件(csr文件)

步骤三、自签名生成证书签名文件(CA文件)

 步骤一、生成key密钥

 # 创建ssl_key文件夹
mkdir -p /etc/nginx/ssl_key && cd /etc/nginx/ssl_key

# 一、生成对应的密钥key genrsa:生成 idea:对称加密 butool.key:输出密钥文件 1024:加密位数
openssl genrsa -idea -out butool.key 1024

# 回车提示输入密码,记住密码,后面管理、维护、生成都需要用到

# 查看key文件
ls

 步骤二、通过密钥去生成证书签名请求文件(csr文件)

# 二、通过密钥去生成证书签名请求文件(csr文件)
openssl req -new -key butool.key -out butool.csr
# 回车输入密码

# 输入证书请求的信息 Country Name (2),给第三方机构生成的时候要按照要求进行填写
# 国家名
Country Name (2 letter code) [XX]: cn
# 州或省名称
State or Province Name (full name) [Some-State]:beijing
# 城市名称
Locality Name (eg, city) []:hangzhou
# 组织名
Organization Name (eg, company) [Internet Widgits Pty Ltd]:BUTOOL 
# 组织单位
Organizational Unit Name (eg, section) []:0953
# 通用名称
Common Name (eg, YOUR name) []:CA
# 电子邮件地址
Email Address []:1196869282@qq.com
A challenge password []:1213123131
An optional company name []:busl


# 查看csr文件
ls

butool.csr  butool.key

步骤三、自签名生成证书签名文件(CA文件)

# 将这两个文件打包发送给签名机构即可
# 个人建立自签名证书 days 签名证书过期时间,默认1个月,3650 10年
openssl x509 -req -days 3650 -in butool.csr -signkey butool.key -out butool.crt

# 回车输入密码
# 回车查看签名文件
ls

https配置语法

# https配置语法
# 开启ssl
listen 443 ssl;

# ssl证书文件
Syntax: ssl_certificate file;
Default: 一
Context:http, server

# ssl证书密码文件
Syntax: ssl_certificate_key file;
Default:一
Context:http, server

原default.conf

# 多余注释已经删除
[root@localhost conf.d]# cat /etc/nginx/conf.d/default.conf 
server {
    listen       80;
    server_name  localhost;

    
    location / {
       root   /usr/share/nginx/html;
       index  index.html index.htm;   
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

   
}

 修改后default.conf

server {
    listen 443 ssl;
    server_name  localhost;

    ssl_certificate /etc/nginx/ssl_key/butool.crt;
    ssl_certificate_key /etc/nginx/ssl_key/butool.key;

    location / {
       root   /usr/share/nginx/html;
       index  index.html index.htm;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
   
}

停止启动访问

    # 查看语法是否正确
    nginx -t
    # 输入密码
    Enter PEM pass phrase:
    # 控制台打印
    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful

    # 停止nginx
    nginx -s stop
    
    # 启动nginx
    nginx
    
    [root@localhost ~]# firewall-cmd --zone=public --add-port=443/tcp --permanent
    success
    [root@localhost ~]# firewall-cmd --reload
    success
    [root@localhost ~]#

请求页面

由于是自签名证书,所以没有经过CA的认证。

 5.配置ios要求的https证书

1.服务器所有的连接使用TLS1.2以上版本(openssl 1.0.2)

2.HTTPS证书必须使用SHA256以上哈希算法签名

3HTTPS证书必须使用RSA 2048位或ECC256位以上公算法
4、使用前向加密技术

# 查看openssl版本
openssl version -a

# 删除之前生成的key
[root@localhost ssl_key]# rm -rf butool.crt 
[root@localhost ssl_key]# rm -rf butool.key 
[root@localhost ssl_key]# rm -rf butool.csr




 openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout butool_apple.key -out butool_apple.crt

#配置启动不需要密码
openssl rsa -in ./butool_apple.key -out ./butool_apple_nopass.key

 修改default.conf文件

# 修改密钥文件位置 
vi /etc/nginx/conf.d/default.conf
server {
    listen 443 ssl;
    server_name  localhost;

    ssl_certificate /etc/nginx/ssl_key/butool_apple.crt;
    ssl_certificate_key /etc/nginx/ssl_key/butool_apple_nopass.key;

    location / {
       root   /usr/share/nginx/html;
       index  index.html index.htm;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
   
}


# 重启访问
[root@localhost ssl_key]# nginx -s stop
[root@localhost ssl_key]# nginx 
[root@localhost ssl_key]#

6.阿里云申请免费证书

下面找不到截图功能位置,点击下面截图位置搜索功能名称

1.购买域名、购买云服务器、域名备案(重要)

2.域名解析

3.购买免费ssl证书

4.证书申请,等待审核

5.审核通过,下载证书

6.上传到云服务器指定nginx配置文件指定证书位置

7.测试访问查看证书认证信息

1.购买域名后打开域名列表

 2.解析选择填写域名前缀,填写自己的云服务器ip确认

 3.购买免费ssl证书填写好绑定的域名即可

 4.选择证书申请,会自动填写信息,提交审核过几分钟就会审核成功

 5.选择证书下载

6.选择nginx下载即可

 7.云服务器default.conf

server {
    listen 443 ssl;
    #配置HTTPS的默认访问端口为443。
    #如果未在此处配置HTTPS的默认访问端口,可能会造成Nginx无法启动。
    #如果您使用Nginx 1.15.0及以上版本,请使用listen 443 ssl代替listen 443和ssl on。
    server_name www.baidu.com; #需要将www.baidu.com替换成证书绑定的域名。
    ssl_certificate /etc/nginx/ssl_key/xxx.pem;  #需要将cert.pem替换成已上传的证书文件的名称。
    ssl_certificate_key /etc/nginx/ssl_key/xxx.key; #需要将cert.key替换成已上传的证书私钥文件的名称。
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    #表示使用的加密套件的类型。
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; #表示使用的TLS协议的类型。
    ssl_prefer_server_ciphers on;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

8.重启测试

# 配置安全组
# 打开443、80端口
# 云服务器打开防火墙端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --reload

1.配置安全规则

 2.规则配置

 3.快速添加

 4.选择端口确认提交

 5.云服务器打开防火墙端口

 6.重启nginx

# 检查语法
nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

# 停止nginx
nginx -s stop

# 启动nginx
nginx

 7.通过域名访问测试

8.点击连接是安全的 ,复制出来地址也是https

 9.点击下面箭头查看证书详细内容

 

 

别浪呀
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx配置ssl支持https的详细步骤,给2024的Linux运维一些建议
2401_84181383的博客
04-10 591
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
nginx https配置tls1.2
热门推荐
wudinaniya的博客
11-27 1万+
nginx 配置文件(一般默认为nginx.conf)的server下配置如下代码: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 具体举例如下 server { listen 443 ssl; server_name www.xxx.com; ssl_certificate ...
Nginx配置SSL证书
krb___的博客
03-25 2962
SSL(Secure Sockets Layer)是一种用于保护在Internet上进行数据传输的加密协议。它是一种为网络通信提供安全性的协议,最初由网景公司(Netscape)开发。SSL的目标是通过对数据进行加密和身份验证,确保敏感信息在用户与网站之间的传输中得到保护。SSL通过在通信的两端之间建立安全的连接来实现其目标。这个安全连接使得通过互联网传输的数据在被发送和接收时都是加密的,从而防止第三方拦截和窃取敏感信息。
服务端TLS协议中启用TLS1.2(win2008等服务器
irizhao的专栏
08-12 3989
配置指南: 需要配置符合PFS规范的加密套餐,目前推荐配置:ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4 需要在服务端TLS协议中启用TLS1.2,目前推荐配置:TLSv1 TLSv1.1 TLSv1.2 1.Nginx 证书配置 更新Nginx根目录下 conf/nginx.conf 文件如下: server { ssl_ciphers ECDHE-RSA-AES1..
Nginx 配置 SSL(HTTPS)详解
最新发布
小楼一夜听春雨,深巷明朝卖杏花
04-25 3297
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass
Nginx配置https
mocoll的博客
03-04 1977
然后找到压缩包选择nginx的将这两个传到服务器中的conf目录下,当然,可以传到其他目录,只需要修改一下配置文件的路径就行。
nginx-http-flv-module:基于nginx-rtmp-module的流媒体服务器。 除了nginx-rtmp-module提供的功能外,现在还支持HTTP-FLV,GOP缓存和VHOST(一个IP用于多个域名)
04-27
nginx-http-flv-module和提供的其他功能: 特征nginx-http-flv-模块nginx-rtmp-模块评论HTTP-FLV(播放) √ X 支持HTTPS-FLV和分块响应GOP快取√ X 主机√ X 忽略listen指令√ 见备注必须至少有一个listen指令仅...
nginx-goodies-nginx-sticky-module-ng-08a395c66e42.zip
09-02
Sticky是nginx的一个模块,它是基于cookie的一种nginx的负载均衡解决方案,通过分发和识别cookie,来使同一个客户端的请求落在同一台服务器上,默认标识名为route (a)客户端首次发起访问请求,nginx接收后,发现...
nginx-rtmp.rar
03-25
windows下部署好的nginx插件nginx-http-flv-module,可直接运行服务器,然后进行推拉流,详细内容见https://blog.csdn.net/KayChanGEEK/article/details/105098588
Nginx-1.16-1安装.docx
10-07
你可以通过 HTTP_stub_status_module 监控 Nginx 的运行状态,使用 SSL 支持提供安全的 HTTPS 服务,同时利用 GZIP 压缩提高网络传输效率。如果需要调整 Nginx 配置,记得在启动前使用 `-t` 参数进行配置检查,以...
Nginx安装lua-nginx-module模块的方法步骤
09-19
ngx_lua_module,也被称为lua-nginx-module,是一个强大的Nginx HTTP模块,它将Lua解析器集成到了Nginx服务器中,使得用户可以利用Lua语言编写高性能的Web应用和服务。这个模块提供了丰富的API,用于处理HTTP请求、...
nginx配置+https
12-10
nginx配置+https
nginx配置https证书
qq445829096的博客
02-25 1515
nginx配置https证书
nginx 部署SSL证书
Ican
12-04 258
nginx 部署SSL证书
使用Nginx搭建HTTPS服务器
qq_52660917的博客
05-04 2222
环境:CentOs 7 1、下载nginx The CentOS Project 下载稳定版 创建文件夹 [root@localhost ~]# cd /usr/local [root@localhost local]# mkdir nginx 移动安装包到指定目录: [root@localhost lss]# cd /tmp/mozilla_lss0/ [root@localhost mozilla_lss0]# mv nginx-1.20.2.tar.gz /usr/local/n
nginx视频学习资料总结
qq_42508901的博客
01-29 381
nginx: 是一个Web服务器,如果不是需要apache的特殊功能的话,nginx服务器的首选。 ​ 是一个轻量级的反向代理。(两个应用是web和mail) ​ 模块化设计 反向代理: 反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时,用户不需要知道目标服务器的地址,也无须在用...
nginx的一些小功能
weixin_39387961的博客
02-09 146
文章目录反向代理静态代理动态代理文件压缩地址重写按目录划分项目配置HTTPS生成SSL自签名证书配置支持HTTPS如何申请受浏览器信任的证书 反向代理 反向代理就是当请求访问你的代理服务器时,代理服务器会对你的请求进行转发,可以转发到静态的资源路径上去,也可以转发到动态的服务接口上去。下面我们以对域名进行代理为例,来讲讲如何进行静态代理和动态代理 静态代理 静态代理就是将请求代理到不同的静态资源路径上去,需要修改nginx的配置文件,如下: server { listen 80;
SSL安全证书避免启动输入Enter PEM pass phrase
wdt3385的专栏
10-08 9110
这种情况可能是在设置私钥key时将密码设置写入了key文件,导致Nginx/Apache等系列服务器在启动时要求Enter PEM pass phrase。我们需要做的是剥离这个密码,利用如下OpenSSL命令生成server.key.unsecure文件: 1 openssl rsa -in server.key -out server.key.unsecure
Nginx转发https访问的实现
qf2019的博客
09-26 9418
1.弯路:Tomcat支持SSL 腾讯云Tomcat服务器证书配置 修改server.xml文件 keystoreType="JKS":请注意该配置跟阿里云的不一样,记得修改 服务器启动完毕之后443端口也被占用了,真的好坑好坑,如果不需要转发的时候,可以使用改配置。 启动nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way for
nginx-https
08-31
nginx-https是指使用Nginx服务器来支持HTTPS协议。通过配置Nginx的ssl模块,可以使Nginx服务器能够处理HTTPS请求。在安装Nginx之前,需要确保在编译Nginx时已经启用了ssl模块。在配置文件nginx.conf中,使用ssl参数来启用ssl模块。如果没有正确启用ssl模块,可能会出现"the 'ssl' parameter requires ngx_http_ssl_module"的错误提示。 要安装Nginx并启用https模块,可以按照以下步骤进行操作: 1. 在Nginx官方网站的下载页面下载Nginx的稳定版本tar包。 2. 将tar包下载到服务器的目录中,并使用命令解压安装包。例如,使用以下命令解压nginx-1.18.0.tar.gz文件:tar -zxvf nginx-1.18.0.tar.gz。 3. 进入解压后的Nginx目录,使用configure命令配置ssl模块。例如,使用以下命令配置ssl模块:./configure --prefix=/usr/local/nginx --with-http_ssl_module。 4. 确保配置成功后,使用make命令编译Nginx,然后使用make install命令安装Nginx。安装完成后,可以将Nginx的可执行文件拷贝到/usr/local/nginx/sbin/目录下。 5. 启动Nginx服务器,并查看是否成功安装了https模块。可以通过访问配置的https网站来验证https模块是否正常工作。 使用以上步骤,您可以安装和配置Nginx以支持https。请注意,您还需要获取并配置SSL证书以使https正常工作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Nginx https 配置](https://blog.csdn.net/StriveInsist/article/details/63259385)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [手把手教你Nginx 配置 HTTPS 完整过程](https://blog.csdn.net/u012486840/article/details/120940761)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值