内网Nginx的自签名HTTPS配置

已于 2024-01-31 10:25:08 修改
阅读量910 收藏 17
点赞数 12
分类专栏: Nginx 文章标签: https nginx ssl
于 2024-01-09 08:56:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo__hang/article/details/135470993
版权

生成证书文件

#如果没有需要安装OpenSSL
yum -y install openssl openssl-devel

# 生成密钥,采用的是des3算法
openssl genrsa -des3 -out server.key 2048
# 根据密钥签发申请文件CSR
openssl req -new -key server.key -out server.csr
#这一步主要是去除密钥的密码,便于后续部署
openssl rsa -in server.key -out server.key 
#生成自签名根证书并设置证书的有效期,crt是发给客户端的证书
openssl x509 -req -days 3650 -in server.csr -signkey server.key  -out server.crt
#有的需要pem的证书,对证书做的转换
openssl x509 -in server.crt -out server.pem -outform PEM 

参数说明:

req:  配置参数-x509指定使用 X.509证书签名请求管理(certificate signing request (CSR))."X.509" 是一个公钥代表that SSL and TLS adheres to for its key and certificate management.
-nodes:  告诉OpenSSL生产证书时忽略密码环节.(因为我们需要Nginx自动读取这个文件,而不是以用户交互的形式)。
-days 36500:  证书有效期,100年
-newkey rsa:  2048: 同时产生一个新证书和一个新的SSL key(加密强度为RSA 2048)
-keyout:  SSL输出文件名
-out:  证书生成文件名

修改nginx配置

server {
    listen 8080 ssl; #端口增加SSL支持
    server_name _;
    charset utf-8;
    # ssl on;
    ssl_certificate /usr/local/nginx/cert/server.crt;# 证书文件
    ssl_certificate_key /usr/local/nginx/cert/server.key; #私钥文件

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    # access_log ./logs/access_stream.log main;
    # error_log ./logs/error_stream.log;

     location / {
           root   html;
           index  index.html index.htm;
           try_files $uri $uri/ /index.html; # 防止Vue路由模式为history模式时刷新页面丢失
     }
 
    error_page 500 502 503 504  /50x.html;
    location = /50x.html {
            root html;
    }
}

 启动报错:nginx未开启SSL模块

root@linx:/usr/local/nginx/sbin# ./nginx
nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:36

查看版本信息

root@linx:/opt/nginx-1.24.0# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.24.0
built by gcc 4.9.2 (Linx 4.9.2-10-linx1)
configure arguments:

 需要重新编译nginx

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

 编译完成后只make 不 install 安装

停掉nginx

/usr/local/nginx/sbin/nginx -s stop

 复制新编译的nginx程序替换原有

cp ./objs/nginx /usr/local/nginx/sbin/

查看版本信息,增加ssl模块的版本信息

root@linx:~# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.24.0
built by gcc 4.9.2 (Linx 4.9.2-10-linx1)
built with OpenSSL 1.0.1t  3 May 2016
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

nginx的SSL性能调优

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

http转https

    server {
       listen       80;
       server_name  192.168.152.3;
       return 301 https://$server_name$request_uri;
    }

访问400

需要在地址前面加 https://

证书不可信,生成证书时候增加 ext.in

extendedKeyUsage = serverAuth, clientAuth
basicConstraints = CA:FALSE
keyUsage = nonRepudiation,digitalSignature,keyEncipherment
subjectAltName = @alt_names

[alt_names]
IP.1=172.1.0.1
DNS.1=www.test.com
openssl x509 -req -days 3650 -in server.csr -signkey server.key  -out server.crt -extfile ext.ini

然后重新使用Openssl重新生成证书,然后导出crt证书,在windows下加入到信任的根证书下面,再次访问浏览器,浏览器访问不会报错,上述配置说明该证书是IP或者域名所有的。

安装证书参考:JDK制作自签名证书,实现双向认证,解决谷歌浏览器证书无效问题,亲测有效_keytool生成自签名证书浏览器不信任怎么办-CSDN博客

其他参考:

内网nginx配置SSL_nginx 内网 ssl-CSDN博客

SpringBoot项目配置https访问单项认证谷歌有效证书_springboot写双向认证客户端认证-CSDN博客

 nginx配置https访问 生成ssl自签名证书,浏览器直接访问_nginx配置cer证书-CSDN博客

Nginx证书配置:cer文件和jks文件转nginx证书.crt和key文件-CSDN博客

今晚哒老虎
关注
  • 12
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nginx配置+https
12-10
nginx配置+https
nginx http重定向https配置说明
09-30
主要介绍了nginx http重定向https配置说明的相关资料,需要的朋友可以参考下
Nginx配置免费自签名https证书、Nginx负载转发中的X-Forwarded-Proto意义及Access-Control-Allow-Origin同时允许http和https的跨域请求
IT技术领域深耕10年+,北京大厂闯荡5年+
04-09 593
nginx支持 https 是一个很简单的事情,首先服务器上得已安装openssl.然后执行以下命令创建一个有效期10年,RSA2048加密的SSL密钥key nginx.key和X509证书nginx.crt。 不过这种并不是权威的第三方认可的签名证书哈,只是用于一些临时有需要的地方使用,但在过一些等级要求高的评审中是不能用的。步骤如下: openssl req的各参数解释如下: 执行的时候会问你很多问题,如下,可以不填,也可以随便填写,但有一项Common Name 要注意填写真实
nginx配置https访问 生成ssl签名证书,浏览器直接访问
敲代码的小小酥的博客
11-21 6096
nginx配置https访问,浏览器不报警
Nginx服务器https配置的方法示例
09-30
主要介绍了Nginx服务器https配置的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx实现sslhttps改造(包含单机版以及负载均衡配置
12-04
(最近安排的ssl改造工作任务重时间短,经过翻阅了大量网文,以及自己亲手搭建虚拟机测试到最后现场测试再验收。在此个人总结成了这一文档,如下载后别乱转 谢谢) (本手册适用于运维人员需要掌握一定的linux基础) 本文档涉及的主要知识点 环境Redhat6.4 jdk keytool 的使用 openssl 的使用 ssl证书的制作 nginx的安装以及配置
内网环境nginx配置https访问
qq_35738369的博客
06-10 370
#!/bin/sh # create self-signed server certificate: read -p "Enter your domain [www.example.com]: " DOMAIN echo "Create server key..." openssl genrsa -des3 -out $DOMAIN.key 2048 echo "Create ser...
nginx验证 --自签名https Basic Auth
开开的博客
09-10 990
1.生成自签名证书 1.1:我们需要为服务端和客户端准备私钥和公钥: //生成服务器端私钥 openssl genrsa -out server.key 1024 //生成服务器端公钥 openssl rsa -in server.key -pubout -out server.pem 1.2:生成CA证书 // 生成 CA 私钥 openssl genrsa -out ca.key 1024 openssl req -new -key ca.key -out ca.csr 注.
自签https证书,并配置nginx上。
记录开发日常笔记
08-27 1171
自签https证书,并配置nginx上。
nginx配置https的步骤
穆雄雄的博客
11-14 975
然后最后一定要放开443端口,我一开始没有放开,一直以为我配置的有问题…申请,一般在你申请域名的那里直接弄就行,下面是。的需求吧,今天我就来整理一下,如何在。
Nginx配置SSL签名证书的方法
09-30
主要介绍了Nginx配置SSL签名证书的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx图片服务器配置https配置
07-24
nginx图片服务器配置https配置
签名SSL证书以及nginx配置https服务
fb_fatboy的博客
04-10 2149
生成一个CA根证书,生成服务端证书,生成客户端证书,nginx配置https服务,开启ssl双向认证
内网环境下nginx使用自签名ssl证书配置https请求
期待变成大神的博客
03-08 1531
内网环境下nginx使用自签名ssl证书配置https请求,前端配置https请求,后端配置https请求
Nginx内网环境开启https双协议
Mr_Wanter
05-13 538
nginx内网环境配置https
总结 HTTPS 的加密流程
weixin_73775528的博客
05-21 773
http是为了解决http存在的问题而在http基础上加入了SSL/TSL,在HTTP/2中TCP三次握手后会进入SSL/TSL握手,当SSL/TSL建立链接后,才会进行报文的传输。
Nginx实战:https 配置SSL证书
最新发布
龙叔运维的博客
05-28 292
Ngin关于SSl证书配置,让你的服务支持https
网络学习(十) | 深入学习HTTPS与安全传输
weixin_44435110的博客
05-28 545
HTTP(HyperText Transfer Protocol,超文本传输协议)和HTTPS(HyperText Transfer Protocol Secure,安全超文本传输协议)是用于在计算机网络上进行通信的两种协议。它们之间的关系及区别主要体现在以下几个方面
内网nginx容器配置https
10-13
要在内网nginx容器中配置https,需要进行以下步骤: 1. 生成SSL证书和私钥文件 可以使用openssl工具生成自签名证书和私钥文件,命令如下: ``` openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /path/to/nginx.key -out /path/to/nginx.crt ``` 其中,/path/to/nginx.key是私钥文件路径,/path/to/nginx.crt是证书文件路径。 2. 配置nginx.conf文件 在nginx.conf文件中添加以下内容: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/nginx.crt; ssl_certificate_key /path/to/nginx.key; location / { proxy_pass http://localhost:8080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } } ``` 其中,example.com是你的域名,/path/to/nginx.crt和/path/to/nginx.key是你生成的证书和私钥文件路径,http://localhost:8080是你要代理的服务地址。 3. 重启nginx服务 执行以下命令重启nginx服务: ``` nginx -s reload ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

今晚哒老虎

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值