https证书生成与nginx的安全配置

最新推荐文章于 2024-06-19 16:46:58 发布
最新推荐文章于 2024-06-19 16:46:58 发布
阅读量347 收藏 2
点赞数
分类专栏: 笔记 文章标签: https nginx 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/johnny0316/article/details/120986682
版权

web服务器使用nginx作为slb对外提供建站能力,默认使用http传输协议。配置可信的SSL证书,也能提高用户的可信度。SSL证书可以通过第三方 SSL 证书机构颁发(通常是要购买的,浏览器可信),也可以使用openssl申请自签名证书(浏览器告警将建立私密连接)。本文主要介绍第二种方式,使用openssl申请自签名证书以构建https服务器。
一、基本概念:
1、openssl 是目前最流行的 SSL密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。(官网:https://www.openssl.org/source/)
2、key:SSL使用非对称加密算法进行认证,通常有一对公钥、私钥。key指的是私钥。
3、csr(Certificate Signing Request):证书签名请求,在申请证书的过程中使用CSP(Cryptographic Service Provider,加密服务提供程序)生成私钥时一起生成的。
4、crt(Certificate):证书,一般我们将CSR文件提交给证书颁发机构(CA)后,CA使用其根证书私钥签名就生成了证书公钥文件,再颁发给用户证书。
二、模拟CA证书颁发过程
(前提:服务器已安装openssl)
1、生成私钥

openssl genrsa -out /etc/ssl/my.key -aes128 -passout pass:123456 4096

生成4096位的RSA私钥,用aes-128-cbc对称算法加密,加密口令为123456,并输出到my.key文件中。
2、生成CSR

openssl req -new -key /etc/ssl/my.key -out /etc/ssl/my.csr

执行后,会问一些问题:

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Shanghai
Locality Name (eg, city) [Default City]:Shanghai
Organization Name (eg, company) [Default Company Ltd]:A
Organizational Unit Name (eg, section) []:B
Common Name (eg, your name or your server's hostname) []:www.xxx.com
Email Address []:

3、生成CA证书

openssl req -new -x509 -key /etc/ssl/my.key -out /etc/ssl/ca.crt -days 3650

生成一个有效期为10年的ca证书。其中,-x509指定使用 X.509作为证书签名请求管理(certificate signing request (CSR))。X.509 是一个公钥代表。(that SSL and TLS adheres to for its key and certificate management.)
执行后,同样会问关于ca证书的问题:

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Shanghai
Locality Name (eg, city) [Default City]:Shanghai
Organization Name (eg, company) [Default Company Ltd]:A
Organizational Unit Name (eg, section) []:B
Common Name (eg, your name or your server's hostname) []:www.xxx.com
Email Address []:

4、用CA证书给本机颁发证书

openssl x509 -req -days 3650 -in /etc/ssl/my.csr -CA /etc/ssl/ca.crt -CAkey /etc/ssl/my.key -CAcreateserial -out /etc/ssl/my.crt

最后生成的my.crt就是本机的证书。
三、一个命令生成自签名证书

openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 \
  -subj '/C=CN/S=Shanghai/O=A Co.,Ltd./CN=www.xxx.com' \
  -keyout /etc/ssl/my.key \
  -out /etc/ssl/my.crt

其中,-nodes: 告诉OpenSSL生产证书时忽略密码环节(因为需要Nginx自动读取这个文件,而不是以用户交互的形式)。
-newkey rsa:2048: 同时产生crt证书和key(加密强度为RSA 2048)
四、nginx中配置ssl证书
(前提,nginx编译时安装ssl模块(http_ssl_module),可以用nginx -V查看当前安装模块)

server{
    #配置ssl监听端口
    listen 443 ssl;
    server_name www.xxx.com;
    #证书和秘钥路径
    ssl_certificate /etc/ssl/my.crt;
    ssl_certificate_key /etc/ssl/my.key;
    #ssl协议与加密算法
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:HIGH:!MEDIUM:!LOW:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:@STRENGTH";
    ssl_prefer_server_ciphers on;
    #session设置,储存SSL会话的缓存类型和大小,会话过期时间
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout 5m;
}

server{
    #将http访问自动跳转到https
    listen 80;
    server_name www.xxx.com;
    rewrite  ^/(.*)$ https://$server_name/$1 permanent;

add_header Content-Security-Policy "default-src 'self' data: blob: https:;img-src 'self' data: blob: https:;media-src 'self' https:;script-src 'self' https:;script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' https:;style-src 'self' 'unsafe-inline' https:;child-src 'none';frame-src https:;";
add_header Set-Cookie "<key>=<value>; Expires=<expiryDate>; Secure; HttpOnly; SameSite=strict";
add_header Cache-control "no-cache, no-store, must-revalidate";
add_header Expires "0";
add_header X-XSS-Protection "1; mode=block";
add_header X-frame-options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

# 请求头传递ip
proxy_set_header Host $host;
proxy_set_header Remote_Addr $remote_addr;
proxy_set_header X-REAL-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
JohnnyZ93
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
https证书生成nginx配置
GC
08-06 188
证书和私钥的生成 1.创建服务器证书密钥文件 server.key: openssl genrsa -des3 -out server.key 2048 输入密码,确认密码,自己随便定义,但是要记住,后面会用到。 2.创建服务器证书的申请文件 server.csr openssl req -new -key server.key -out server.csr 输出内容为: Enter pass phrase for root.key: ← 输入前面创建的密码 Country Name (2 letter
https配置从tomcat迁移到Nginx
都是浮云
12-10 2999
一、背景介绍最近有个APP项目,为了避免数据网络传输过程中明文传输,需要采用https协议进行APP端和服务端的数据交互。没有去专门第三方的证书签发机构申请证书,而是自己通过jdk提供的keytool自己给自己签发了一个证书,就APP端使用,没用在浏览器中,也无所谓啦。二、jks格式证书获取使用JDK的keytool工具生成jks密码库。keytool -genkey -alias tomcat -
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站点请求伪造
最新发布
qq_43613949的博客
06-19 399
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站点请求伪造@
前端CSP适配Note that ‘script-src-elem‘ was not explicitly set, so ‘script-src‘ is used as a fallback
RisunJan的博客
10-05 815
前端CSP异常处理记录,不合理的地方评论指出由于https的限制和浏览器策略的升级,导致之前的地图图层不显示。现将解决办法记录如下。
NginX配置https生成免费证书
vzdong1的博客
10-17 2401
测试环境 Windows Server 2012 R2 Datacenter nginx-1.14.0 步骤 1.生成证书 a.这里使用自己生成的免费证书。在${JAVA_HOME}/bin 下可以看到keytool.exe,在改目录打开cmd然后输入: keytool -genkey -v -alias tomcat -keyalg RSA -keystore d:\local.k...
高德地图脚本加载异常,浏览器报错
一一
07-06 3415
高德地图脚本加载异常
界面化实现https证书生成nginx配置
07-31
标题“界面化实现https证书生成nginx配置”指的是一个通过Java程序实现的工具,它能够帮助用户方便地生成HTTPS证书,并自动配置Nginx服务器以启用HTTPS服务。这个工具简化了通常涉及命令行操作的SSL/TLS证书创建...
自动化脚本一键生成Nginx https证书证书格式为pem
11-12
本教程将详细解释如何使用自动化脚本来一键生成Nginx所用的HTTPS PEM格式证书,并适用于不同环境。 首先,我们要理解PEM(Privacy Enhanced Mail)格式,它是公钥证书的一种常见表示方式,以Base64编码,并被包裹在...
Windows下Nginx配置SSL实现Https访问(包含证书生成
10-12
Windows下Nginx配置SSL实现Https访问(包含证书生成
https证书(nginx、tomcat均可用).zip
03-16
HTTPS证书是互联网安全通信的重要工具,它通过加密技术保护数据传输过程中的隐私和完整性,确保用户与服务器之间的交互不会被第三方窃取或篡改。在本压缩包中,包含了适用于Nginx和Tomcat服务器的HTTPS证书配置文件...
nginx配置https详细步骤,从安装OpenSSL和Nginx,到生成证书nginx配置(包括配置http请求转发到https)等
07-31
网络上很难找到非常详细的...本文档通过真实的实践经验,从安装OpenSSL和Nginx,到利用openssl生成证书配置nginxhttps(包括配置http请求转发到https)等,详细总结出nginx配置https的步骤,最终能帮助你配置成功。
Nginx生成一个自签名的SSL证书脚本
11-18
Nginx生成一个自签名的SSL证书脚本
nginx配置https生成https证书
make_progress的博客
05-11 1125
1 生成https证书 # (1)生成私钥文件,输入两次密码即可完成 openssl genrsa -des3 -out om_pwd.key 2048 # (2)创建请求证书 openssl req -new -key om_pwd.key -out om_pwd.csr # (3)创建数字签名证书,x509表示自签名格式 openssl x509 -req -days 365 -in om_pwd.csr -signkey om_pwd.key -out om_pwd.crt # (4)删除..
nginx https ssl
flyten
10-10 990
4月底在NameCheap用优惠码注册了一个JunGeHost.com,并且免费赠送了一年的Positive SSL,于是顺便搞上SSL,这样传输数据也更加安全。 SSL需要有一个独立IP,也就是一个独立IP只能对应一个SSL。(什么是SSL?) 一、准备工作 1、需要Nignx已经编译ssl 模块(lnmp一键安装包已经编译安装上),如果没有需要重新编译,方法可以参考Nginx无缝升级。
windows下nginx配置https证书
weixin_43972670的博客
03-07 1270
生成crt证书: openssl x509 -req -days 365 -in my.csr -signkey my.key -out my.crt。1.1 安装工具openSSL。已加入SSL后:https://127.0.0.1:443/my/test 或 https://127.0.0.1/my/test。创建csr证书:openssl req -new -key my.key -out my.csr。去除密码: openssl rsa -in my.key.copy -out my.key。
Nginx配置安全策略总结
智慧,不是知识、不是经验、不是思辩,而是超越自我中心的态度。
09-27 4490
基于AppScan安全扫描工具检测出来的服务器安全隐患,通过nginx负载的配置总结。
nginx常见漏洞解析_nginx漏洞(1),从入门到精通
2401_83974783的博客
04-03 729
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
nginx 证书生成
sunnyliuqi的专栏
05-31 808
openssl genrsa -des3 -out ssl.key 1024 mv ssl.key bak.key openssl rsa -in bak.key -out ssl.key rm bak.key openssl req -new -key ssl.key -out ssl.csr sudo openssl x509 -req -days 365 -in ssl.csr -si...
Nginx配置https访问
愤怒的小兵
01-07 274
生成https证书 生成秘钥key,运行: $ openssl genrsa -des3 -out server.key 2048 会有两次要求输入密码,输入同一个即可 输入密码 然后你就获得了一个server.key文件. 以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令: $ openssl rsa -in server....
生成ssl证书nginx配置ssl证书
11-17
Nginx配置文件中添加SSL证书配置,例如: ```shell server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ... } ``` 其中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值