Openssl: 基于openssl的nginx服务配置

最新推荐文章于 2023-09-06 20:05:45 发布
最新推荐文章于 2023-09-06 20:05:45 发布
阅读量1.2k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ichen820/article/details/117399786
版权

环境:

CA服务器:192.168.1.121

WEB服务器: 192.168.1.107

一、在CA服务器上生成自签证书

首先进入CA服务器的CA目录中,如果找不到可以使用find进行查找,如下图
在这里插入图片描述

1.生成根私钥

(umask 077;openssl genrsa -out private/cakey.pem 2048)

在这里插入图片描述

umask:存放CA私钥文件权限700
genrsa:使用rsa加密算法
-out:指定私钥存放位置
2048:密钥长度
2.2 生成自签证书

2.生成自签证书

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

在这里插入图片描述

req:生成证书工具
-x509:生成一个自签署证书
-key:指定密钥文件
-out:证书位置
-days:证书期限
Common Name:很重要,部署web服务器时一定对应到web服务器的域名。

填写的信息,在/etc/pki/tls/openssl.cnf可配置默认。

3.创建所需的目录和文件

touch index.txt

echo 01 > serial

在这里插入图片描述

目前,一个自签署的CA可以使用了。
在这里插入图片描述

二、在WEB服务器端生成证书颁发请求,并发送给CA

1.创建证书保存目录

mkdir /usr/local/nginx/ssl

2.生成私钥

(umask 077;openssl genrsa -out nginx.key)

在这里插入图片描述
3.生成证书请求

openssl req -new -key nginx.key -out nginx.csr

Ps:Common Name:一定要填写正确,就是客户端访问时的域名。

其他和自签署证书一样。

在这里插入图片描述

4.发送证书请求给CA服务器

scp httpd.csr 192.168.1.121:/tmp
三、在CA服务器上签署请求证书

1.签名

openssl ca -in /tmp/nginx.csr -out /tmp/nginx.crt -days 3655

在这里插入图片描述

3.发送证书给WEB服务器

scp /tmp/nginx.crt 192.168.1.107:/usr/local/nginx/ssl

删除tmp目录下的证书

rm -rf /tmp/nginx.c*

4.Web服务器使用ssl

/usr/local/nginx/conf/vhosts/test.conf 文件配置使用ssl

案例:

server {

    listen 80;

    listen 443 ssl;

        server_name  www.mynginx.com;

   ssl_certificate /etc/nginx/ssl/nginx.crt;

        ssl_certificate_key /etc/nginx/ssl/nginx.key;

    location / {

        root   /var/www/python;

        index  index.html index.htm;

         }

}

个人配置如下:

server {
        listen       80;
        server_name  www.test.com;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            root   html/test;
            index  index.html index.htm;
        }

        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }

        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;
        #}

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        #location ~ \.php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        #location ~ /\.ht {
        #    deny  all;
        #}
    }

server {

        listen 443 ssl;

        server_name  www.test.com;

        ssl_certificate /usr/local/nginx/ssl/httpd.crt;

        ssl_certificate_key /usr/local/nginx/ssl/httpd.key;


        location / {
            root   html/test;
            index  index.html index.htm;
        }


}

然后重启nginx

/usr/local/nginx/sbin/nginx -s reload

nginx结构
在这里插入图片描述

5.由于www.ish.com并不是真实的域名,故需要在hosts文件下加入该域名进行本地解析

访问https://www.ihs.com,会出现证书错误,这是由于证书是私有CA颁发的,故需要做如下步骤:

CA服务器上的证书cacert.pem导出到本地,改名为cacert.crt,点击
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
退出浏览器,清楚缓存,再重新访问https://www.test.com/

在这里插入图片描述
出现了一把锁,证书错误提示也消失了。

参考文档:

https://www.cnblogs.com/zydev/p/5551654.html

https://blog.csdn.net/weixin_30576827/article/details/97426160

IChen.
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过RPM方式安装NGINX需要升级openssl
05-22
通过RPM方式安装NGINX,需要升级openssl 安装命令:rpm -ivh openssl-libs-1.0.2k-25.el7_9.x86_64.rpm --force
nginx配置https详细步骤,从安装OpenSSLNginx,到生成证书,nginx配置(包括配置http请求转发到https)等
07-31
网络上很难找到非常详细的关于nginx配置https的全流程,大多都是一小段,要么缺A要么缺B。 本文档通过真实的实践经验,从安装OpenSSLNginx,到利用openssl生成证书,配置nginx的https(包括配置http请求转发到https)等,详细总结出nginx配置https的步骤,最终能帮助你配置成功。
基于CentOS6.8镜像+OpenSSL1.1.1g通过Nginx1.14离线创建HTTPS服务
05-27
在DockerOS6.8的镜像里,离线安装Nginx配置HTTPS服务。步骤: 1、启动容器; 2、安装gcc编译环境; 3、安装其他工具,如OpenSSL等; 4、安装Nginx; 5、启动及验证Nginx; 6、安装JDK和Tomcat; 7、创建证书并修改Nginx配置后从新载入配置文件; 8、验证https服务和http自动跳转。 镜像下载地址: https://hub.docker.com/repository/docker/estc/centos4https
针对OpenSSL安全漏洞调整Nginx服务器的方法
09-30
主要介绍了针对OpenSSL漏洞调整Nginx服务器的方法,2014年爆出的SSL安全漏洞震惊了全世界,需要的朋友可以参考下
nginx的安装和配置
qwerdfgg的博客
07-30 434
nginx安装nginx安装(Linux版本)前期准备安装 Nginxnginx配置启动 NginxNginx 其他命令 nginx安装(Linux版本) 系统平台:CentOS release 6.6 (Final) 64位。 前期准备 一、安装编译工具及库文件 yum -y install make zlib zlib-devel gcc-c++ libtool openssl openss...
Nginxopenssl配置以及秘钥和证书的生成
易大飞
06-14 1814
Nginxopenssl配置以及秘钥和证书的生成   前期准备阶段:需要文件nginx-1.8.1.zip,openssl-1.0.1.tar.gz,nginx-sticky-module-1.1.tar.gz,pcre-8.35.zip,zlib-1.2.11.tar.gz。 注:所有需要的压缩包将统一放到nginx-1.8.1.zip中,这样方便后期使用。   一. 配置Ngin
nginxopenssl版本升级操作手册
wszhm123的博客
08-03 1701
我们目前使用的是nginx1.20.2和openssl-1.0.2k。其中查看服务器上openssl的脚本名利是:openssl version -v/-a。这个时候可能会出现错误找不到libssl.so.1.1 和libcrypto.so.1.1。先在/usr/local/nginx/sbin/中执行cp nginx nginxb。如果显示已经存在/usr/bin/openssl,则只需要备份下。然后将备份文件的nginx复制过来。覆盖原来的,然后重新nginx即可。在/usr/bin目录下。
升级Openssl 1.1.1版本以及更新Nginx应用新版Openssl
江晓龙的博客
06-28 6846
当前openssl版本如下,是1.0.1e版本。 漏洞扫描后发现这个版本的ssl存在安全问题,故而需要升级。 3、平滑升级Nginx openssl已经升级完毕,但是nginx查到的还是旧的openssl,也需要升级一下。
ubuntu安装Nginx的几个问题
x_k_b的博客
03-31 489
ubuntu安装Nginx全过程安装pcreopensslNginx版本对应问题安装openssl安装Nginx[/usr/local/ssl/.openssl/include/openssl/ssl.h] Error 127 安装pcre 首先需要先安装nginx依赖的pcre包 Wget http://downloads.sourceforge.net/project/pcre/pcre/8...
nginx(六十七)http_ssl模块 client与nginx的ssl握手
wzj_110的博客
11-26 3465
client与nginx的ssl握手之http_ssl模块
使用openSSLnginx搭建本地https服务
泗水长流的博客
01-01 1208
使用openSSLnginx搭建本地https服务一.写在前面的话二、实验过程1.实验环境及物料2.证书中的信息说明3.Win64 OpenSSL v1.1.1i下载4.OpenSSL自建服务端证书请求1.生成服务端私钥2.由私钥生成待签名证书3.查看CSR文件中的信息5.OpenSSL自建CA根证书1.创建CA私钥2.生成CA待签名证书3.生成CA根证书6.OpenSSL生成服务端证书7.nginx配置证书1.Nginx开启SSL模块2.上传证书文件到服务器3.在nginx配置证书文件4.启动ngi
nginx降权+PHP匹配
weixin_66218784的博客
11-25 664
下载Ubuntu系统进行nginx降权并且匹配php
openssl版本升级后,Nginx用的还是旧版的openssl
Heartsuit的博客
03-17 2399
背景 我只是想简单的配置下 HTTP2 ,没想到竟掉到了坑里。。应该是版本较旧的原因,在重新编译 Nginx 时遇到不少问题,这里做个记录。 在上一篇Nginx配置开启HTTP2支持中已经升级了 OpenSSL ,但是查看 Nginx 版本信息后,发现还是用的旧版 OpenSSL ,此时,需要重新编译 Nginx 。 环境 [root@ecs-zfdevops-0001 nginx-1.10.2]$ cat /etc/redhat-release CentOS release 6.10 (Final) N
nginx安装及依赖关系的配置记录
occniitcom的专栏
04-07 2527
一、pcre安装 ./configure --prefix=/usr/local/pcre-8.38 --libdir=/usr/local/lib/pcre --includedir=/usr/local/include/pcre --libdir=DIR   指定库文件的安装位置. --includedir=DIR   指定C头文件的安装位置.其他语言如C++的头文件也可以使用此
nginx升级OpenSSL版本
cwyxf123的博客
03-22 2845
1、查看OpenSSL版本 查看OpenSSL版本为1.0.2k-fips 2、下载OpenSSL源码包 下载地址 https://www.openssl.org/source root@node1 ~]# cd /usr/local/src/ [root@node1 src]# wget -c https://www.openssl.org/source/openssl-1.1.1j.tar.gz 3、编译安装nginx并指定新版本OpenSSL路径 [root@node1 src]# /apps/
关于编译安装nginx出现./configure: error: SSL modules require the OpenSSL library.问题的解决方法
热门推荐
lmq1993的博客
09-05 1万+
如果之前没有安装openssl,需要在执行./configure命令之前安装 yum -y install openssl openssl-devel make zlib zlib-devel gcc gcc-c++ libtool pcre pcre-devel 如果已经安装了openssl,但是仍然出现这个错误,如下图 系统是centos7.7,原生openssl版本是1.0.2k,已经对openssh和openssl做了编译安装,现在的版本是openssh8.3p1,openssl1.1.1
nginx添加密码套件 ChatGPT
Old_Monster_的博客
03-31 965
3. 您可以进一步配置您的SSL证书和密钥,以便加密通信。现在,您已经在nginx中启用了加密算法套件,并使用SSL证书和密钥保护了通信。这将启用TLS协议的版本1.2和1.3,并使用具有适当加密强度的加密套件。部分,确认您的nginx版本已构建使用所需的OpenSSL版本。4. 最后,重新加载nginx配置文件以应用更改。是您的SSL证书文件的路径,是您的SSL密钥文件的路径。
Nginx安装配置说明
数通畅联
12-22 1483
Nginx是一款轻量级的Web服务器、反向代理服务器。由于它内存占用少,启动速度快,高并发能力强等优点,在互联网项目中广泛应用。本文针对Nginx安装配置进行说明。
Nginx1.25.1起弃用 Listen 指令的 Http2 参数,异常:the “listen ... http2“ directive is deprecated
最新发布
程序新视界
09-06 2765
Nginx在1.25.0版本中实验性的支持HTTP/3后,在1.25.1版本中弃用了listen指令的http2参数,单独加入了http2指令。
nginx配置OpenSSL
08-27
配置nginxOpenSSL一起使用,可以按照以下步骤进行操作: 1. 首先,进入nginx配置文件目录: ``` cd /etc/nginx/sites-enabled ``` 在这个目录下创建一个新的配置文件,比如https.conf,可以使用vim或其他编辑...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值