Nginx HTTPS 实践

最新推荐文章于 2024-09-08 15:52:17 发布
最新推荐文章于 2024-09-08 15:52:17 发布
阅读量125 收藏
点赞数
分类专栏: 学习架构 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60790558/article/details/119517354
版权
本文详细介绍了Nginx实现HTTPS的过程,包括HTTPS安全证书的基础知识、证书的申请与验证、Nginx服务器的SSL配置、证书类型的选择、HTTPS注意事项及优化策略。重点讨论了如何防止网站被篡改,以及在阿里云服务器上部署SSL的步骤。
摘要由CSDN通过智能技术生成

Nginx HTTPS 实践

HTTPS安全证书基础概述

为什么需要使用HTTPS,因为HTTP不安全,当我们使用http网站时,会遭到劫持和篡改,如果采用https协议,那么数据在传输过程中是加密的,所以黑客无法窃取或者篡改数据报文信息,同时也避免网站传输时信息泄露。

https证书:走的是ssl协议

那么在数据进行加密与解密过程中,如何确定双方的身份,此时就需要有一个权威机构来验证双方身份,那么这个权
威机构就是CA机构,那么CA机构又是如何颁发证书

我们首先需要申请证书,先去登记机构进行身份登记,我是谁,我是干嘛的,我想做什么,然后登记机构再通过CSR发给CA,CA中心通过后会生成一堆公钥和私钥,公钥会在CA证书链中保存,公钥和私钥证书我们拿到后,会将其部署在WEB服务器上

1.当浏览器访问我们的https站点时,他回去请求我们的证书

2.Nginx这样的web服务器会将我们的公钥证书发给浏览器

3.浏览器会去验证我们的证书是否合法有效

4.CA机构会将过期的证书放置在CRL服务器,CRL服务的验证效率是非常差的,所以CA有推出了OCSP响应程序,OCSP响应程序可以查询指定的一个证书是否过期,所以浏览器可以直接查询OSCP响应程序,但OSCP响应程序性能还不是很高

5.Nginx会有一个OCSP的开关,当我们开启后,Nginx会主动上OCSP上查询,这样大量的客户端直接从Nginx获取证书是否有效
流程

1、浏览器发起往服务器的443端口发起请求,请求携带了浏览器支持的加密算法和哈希算法。

2、服务器收到请求,选择浏览器支持的加密算法和哈希算法。

3、服务器下将数字证书返回给浏览器,这里的数字证书可以是向某个可靠机构申请的,也可以是自制的。

4、浏览器进入数字证书认证环节,这一部分是浏览器内置的TLS完成的:

  • 1 首先浏览器会从内置的证书列表中索引,找到服务器下发证书对应的机构,如果没有找到,此时就会提示用户该证书是不是由权威机构颁发,是不可信任的。如果查到了对应的机构,则取出该机构颁发的公钥。

  • 2 用机构的证书公钥解密得到证书的内容和证书签名,内容包括网站的网址、网站的公钥、证书的有效期等。浏览器会先验证证书签名的合法性(验证过程类似上面Bob和Susan的通信)。签名通过后,浏览器验证证书记录的网址是否和当前网址是一致的,不一致会提示用户。如果网址一致会检查证书有效期,证书过期了也会提示用户。这些都通过认证时,浏览器就可以安全使用证书中的网站公钥了。

  • 3 浏览器生成一个随机数R,并使用网站公钥对R进行加密。

5、浏览器将加密的R传送给服务器。

6、服务器用自己的私钥解密得到R。

7、服务器以R为密钥使用了对称加密算法加密网页内容并传输给浏览器。

8、浏览器以R为密钥使用之前约定好的解密算法获取网页内容。

模拟网站被篡改

1.需要一个主站

# 1.web01上编写nginx配置文件
[root@web01 conf.d]# vim zhuzhan.conf
server {
   
	listen 80;
	server_name www.zhuzhan.com;
	
	location / {
   
		root /zhuzhan;
		index index.html;
	}
}

#2.创建站点目录,编辑默认页面
[root@web01 conf.d]# mkdir /zhuzhan

[root@web01 conf.d]# vim /zhuzhan/index.html
<!DOCTYPE html>
<html lang="zh">
<head>
	<meta charset="UTF-8">
	<meta http-equiv="X-UA-Compatible" content="IE=edge">
	<meta name="viewport" content="width=device-width, initial-scale=1.0">
	<title>这个网站要被篡改了</title>
</head>

<body>
	<h1>曾老湿主站点</h1>
	<img src="https://img11.51tietu.net/pic/2016-
	071418/20160714181543xyu10ukncwf221991.jpg" alt="">
	<p>这里是曾老湿站点 曾老湿版权所有</p>
	</body>
</html>

#3.黑客攻击
server {
   
	listen 80;
	server_name www.zhuzhan.com;
	
	location / {
   
		proxy_pass http://172.16.1.7;
		include /etc/nginx/proxy_params;
最低0.47元/天 解锁文章
Hi~略略略o(* ̄▽ ̄*)ブ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx HTTPS实践
江晓龙的博客
06-30 2万+
因为HTTP采用的是明文传输数据,那么在传输(账号密码、交易信息等敏感数据)时不安全。容易遭到篡改如果使用HTTPS协议,数据在传输过程中是加密的,能够有效避免网站传输时信息泄露HTTPS安全的超文本传输协议,我们现在大部分站点都是通过HTTPS来实现站点数据安全。早期网景公司设计了SSL(Secure Socket Layer)安全套接层协议,主要对HTTP协议传输的数据进行加密。那如何将站点变成安全的HTTPS站点呢?我们需要了解SSL(Secure Socket Layer)协议。
Docker中Nginx配置https实践
第一行代码
06-14 1309
nginx中配置https需要开启https的模块,然后开启配置,但是docker中的nginx不需要安装https的模块,直接在配置文件中配置server节点就可以 一、修改配置文件 如果在运行容器的时候没有挂载配置文件,那么需要重新运行容器并挂载nginx.conf配置文件 第一种:可以下载Nginx,然后将其中的nginx.conf上传到服务器中的指定目录下 文章底部有初始nginx.conf配置文件示例 第二种:先创建一个测试的nginx容器,将该容器中的nginx.conf复制.
11.Nginx HTTPS 实践
weixin_30871293的博客
09-17 235
1.HTTPS安全证书基本概述 为什么需要使用HTTPS, 因为HTTP不安全。当我们使用http网站时,会遭到劫持和篡改,如果采用https协议,那么数据在传输过程中是加密的,所以黑客无法窃取或者篡改数据报文信息,同时也避免网站传输时信息泄露。 那么我们在实现https时,需要了解ssl协议,但我们现在使用的更多的是TLS加密协议。那么TLS是怎么保证明文消息被加密的呢?在OS...
Nginx配置HTTPS以及HTTPS原理
礁之的博客
12-16 8961
文章目录一、HTTPS概述(1)HTTPS简介(2)HTTPS原理二、Nginx实现HTTPS网站设置(1)实验环境(2)实验目的(3)实验步骤三、扩展 一、HTTPS概述 (1)HTTPS简介 现在越来越多的公司都从HTTP转到了HTTPS,主要是为了数据安全,防止敏感信息被第三方获取 HTTPS是由两个部分组成的分别为HTTP和SSL和TLS,也就是说HTTPS就是在HTTP的基础上加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS和SSL进行加密, 也就是说使用HTTPS传输的数据都
openssl生成ssl证书
weixin_34208283的博客
08-12 719
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx 实战:Nginx HTTPS 实践
qq_33240556的博客
03-25 1223
以上即为在Nginx上实现HTTPS的基本步骤。在实际部署过程中,还可能需要根据具体情况进行更多优化配置,例如启用HSTS(HTTP严格传输安全)、OCSP stapling等功能。确保Nginx已安装,并且包含HTTP SSL模块(也称为ngx_http_ssl_module)。通常在编译安装Nginx时,可以通过添加。如果你使用的是预编译包,SSL模块可能已经被默认包含。打开Nginx的主配置文件(通常是。或者在一个特定的站点配置文件如。
Nginx HTTPS协议实践
weixin_43027261的博客
08-08 1420
HTTPS证书基本概述 为什么需要使用HTTPS,因为HTTP不安全,当我们使用http网站时,会遭到劫持和篡改,如果采用https协议,那么 数据在传输过程中是加密的,所以黑客无法窃取或者篡改数据报文信息,同时也避免网站传输时信息泄露。 https证书:ssl协议 ...
Nginx HTTPS配置详解
人丑就要多读书的博客
08-22 2528
文章目录一 、 HTTPS概述1.1 什么是HTTPS1.2 为何需要HTTPS1.3 TLS如何实现加密二、HTTPS实现原理2.1 加密模型-对称加密2.2 加密模型-非对称加密2.3 身份验证机构-CA2.4 HTTPS通讯原理三、HTTPS扩展知识3.1 https证书类型3.2 Https购买建议3.3 Https颜色标识四、HTTPS单台配置实践4.1 配置SSL语法4.1 创建SSL证书4.2 配置SSL场景五、HTTPS集群配置实践5.1 环境准备5.2 配置应用节点六、企业级HTTPS场景
搭建nginx https 反向代理 http tomcat服务实践
yo_yolv
07-12 548
【代码】搭建nginx https 反向代理 http tomcat服务实践
NginxNginxHTTPS配置实践.docx
08-28
NginxNginxHTTPS配置实践.docx
Nginx+Tomcat+Https 服务器负载均衡配置实践方案详解
09-30
本文将深入探讨如何配置Nginx+Tomcat+Https的服务器负载均衡环境,这对于大型网站或高流量应用来说至关重要,可以提高系统的可用性和响应速度。我们将按照以下步骤进行讲解: 1. **JDK安装配置** - 首先,我们需要...
nginx https环境搭建详细教程
01-03
描述:“nginx https环境搭建详细教程,生产环境亲测,图文详细教程”则进一步说明了这是一篇实践经验丰富的教程,不光提供了理论上的解释,还包含实际操作过程的图片说明,旨在通过亲测的方法让读者能够更加直观地...
【运维监控】prometheus+node exporter+grafana 监控linux机器运行情况(2)
alanchanchn的专栏
09-03 2277
本示例是通过prometheus的node exporter收集主机的信息,然后在grafana的dashborad进行展示。本示例使用到的组件均是最新的,下文中会有具体版本说明,linux环境是centos。本示例分为四个部分,即prometheus、grafana、node exporter的部署和三者集成的监控linux。本文旨在说明三者如何使用,不涉及各自组件的介绍,如果需要使用到本文的,肯定都有了解。
Linux> 基础IO
prodigy623的博客
09-06 877
详解Linux基础IO:文件系统调用接口与C库文件函数的关系、重定向、数据缓冲区、文件系统、动静态库
Linux【5】远程管理
m0_68339197的博客
09-04 306
shutdown -r 重启。
Linux:vim编辑器的基本使用
2401_86544677的博客
09-04 795
当然,也可以直接删除。vim可以直接用键盘上的光标来上下左右移动,但正规的vim是用小写英文字母「h」、「j」、「k」、「i」,分别控制光标左、下、上、右移一格。」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直 按「n」会往前寻找到您要的关键字为止。「#」:「#」号表示一个数字,在冒号后输入一个数字,再按回车键就会跳到该行了,如输入数字15, 再回车,就会跳到文章的第15行。「/关键字」: 先按「/」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直按。
Linux 下 C/C++ 程序编译的过程
最新发布
Teminator_的博客
09-08 2949
本文将介绍如何将 C/C++ 语言编写的程序转换成为处理器能够执行的二进制代码的过程,包括四个步骤:预处理()编译()汇编()链接(在此之前,首先来看一下 GCC 工具链。
Linux修行路】线程安全和死锁
m0_68662723的博客
09-06 1234
今天的分享到这里就结束啦!如果觉得文章还不错的话,可以三连支持一下,您的支持就是我前进的动力!
项目沟通管理与Nginx HTTPS配置实践
"项目沟通管理的基本概念-nginx下配置https证书详细过程" 在IT行业中,项目沟通管理是一项至关重要的技能,特别是在系统集成项目管理中。它涉及到有效地传递信息、协调团队和干系人,并确保项目的顺利进行。项目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值