https证书的配置

最新推荐文章于 2024-01-24 11:00:00 发布
最新推荐文章于 2024-01-24 11:00:00 发布
阅读量246 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paraller_15/article/details/78361155
版权

转载请注明出处 http://www.paraller.com 原文排版地址 点击获取更好阅读体验

https证书的配置

生成Key文件

书申请者私钥文件,和证书里面的公钥配对使用, 在 HTTPS 『握手』通讯过程需要使用私钥去解密客戶端发來的经过证书公钥加密的随机数信息,是 HTTPS 加密通讯过程非常重要的文件,在配置 HTTPS 的時候要用到

生成CSR文件

CSR :Cerificate Signing Request,证书签署请求文件,里面包含申请者的 DN(Distinguished Name,标识名)和公钥信息,在第三方证书颁发机构签署证书的时候需要提供。 证书颁发机构拿到 CSR 后使用其根证书私钥对证书进行加密并生成 CRT 证书文件,里面包含证书加密信息以及申请者的 DN 及公钥信息

生成crt文件

前往亚狐的网站,查看证书信息,找到

  • SSL证书文件Server Certificate
  • 中级证书文件Intermediate Certificate
  • 根证书文件Root Certificate

复制在同一个文件中,以 domain.crt文件命名

扩展:

我们一般常见的证书链分为两种:

二级证书:直接由 受信任的根证书颁发机构 颁发的证书(CRT 文件),由于这种情况下一旦 Root CA 证书遭到破坏或者泄露,提供这个 Certificate Authority 的机构之前颁发的证书就全部失去安全性了,需要全部换掉,对这个 CA 也是毁灭性打击,现在主流的商业 CA 都提供三级证书。 三级证书:由 受信任的根证书颁发机构 下的 中级证书颁发机构 颁发的证书,这样 ROOT CA 就可以离线放在一个物理隔离的安全的地方,即使这个 CA 的中级证书被破坏或者泄露,虽然后果也很严重,但根证书还在,可以再生成一个中级证书重新颁发证书,而且这种情况对 HTTPS 的性能和证书安装过程也没有太大影响,这种方式也基本成为主流做法。

使用 OpenSSl命令可以在系统当前目录生成 example.key 和 example.csr 文件:

``` openssl req -new -newkey rsa:2048 -sha256 -nodes -out example_com.csr -keyout example_com.key -subj "/C=CN/ST=ShenZhen/L=ShenZhen/O=Example Inc./OU=Web Security/CN=example.com"

```

下面是上述命令相关字段含义:

  • C:Country ,单位所在国家,为两位数的国家缩写,如: CN 就是中国
  • ST 字段: State/Province ,单位所在州或省
  • L 字段: Locality ,单位所在城市 / 或县区
  • O 字段: Organization ,此网站的单位名称;
  • OU 字段: Organization Unit,下属部门名称;也常常用于显示其他证书相关信息,如证书类型,证书产品名称或身份验证类型或验证内容等;
  • CN 字段: Common Name ,网站的域名;

生成 csr 文件后,提供给 CA 机构,签署成功后,就会得到一個 example.crt 证书文件,SSL 证书文件获得后,就可以在 Nginx 配置文件里配置 HTTPS 了。

代码示例

在docker-compose.yml 配置如下信息:

nginx2: restart: always image: nginx:latest volumes: - /etc/localtime:/etc/localtime:ro - /etc/timezone:/etc/timezone:ro - /var/run/docker.sock:/tmp/docker.sock:ro - ./certs:/etc/nginx/certs - ./nginx:/etc/nginx/conf.d ports: - "127.0.0.1:8877:80"

生成的Nginx配置信息如下:

server { server_name www.paraller.com; listen 443 ssl http2 ; access_log /var/log/nginx/access.log vhost; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_session_timeout 5m; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_certificate /etc/nginx/certs/yeamoney.cn.crt; ssl_certificate_key /etc/nginx/certs/yeamoney.cn.key; add_header Strict-Transport-Security "max-age=31536000"; location ^~ /socket.io/ { return 301; } location / { proxy_pass http://www.paraller.cn; proxy_connect_timeout 20; proxy_read_timeout 20; proxy_send_timeout 20; proxy_ignore_client_abort on; } }

参考网站

https://aotu.io/notes/2016/08/16/nginx-https/

paraller_15
关注
[企业内部https证书配置]tomcat 7配置https的完整历程
oscar999的专栏
02-02 3125
如果服务器不支持TLSv1.2协议, 则在访问的时候就会 ERR_SSL_OBSOLETE_VERSION 的提示, 也就是SSL的协议版本太低了
Rancher入门到精通-2.0 Https证书配置
隔壁老瓦的专栏
12-12 2621
新建证书 进入工作负载——〉域名设置 配置证书 配置域名,选择配置证书
五分钟搞定 HTTPS 配置,二哥手把手教
weixin_34072637的博客
05-09 1615
01、关于 FreeSSL.cn FreeSSL.cn 是一个免费提供 HTTPS 证书申请、HTTPS 证书管理和 HTTPS 证书到期提醒服务的网站,旨在推进 HTTPS 证书的普及与应用,简化证书申请的流程。 当然了,我看重的不是免费,而是 FreeSSL 使用起来非常人性化。我是一个计算机常识非常薄弱的程序员(羞愧一下),但通过 FreeSSL,我竟然可以独自完成 Tomcat 的 HTT...
https证书配置
Peter的博客
08-31 642
                                                   https证书配置 yum -y install openssl自动安装openssl 这里使用yum安装openssl,然后制作证书   1,生成根证书的私钥 $ openssl genrsa -out /home/zhangle/ca.key   2 利用私钥生成一个根证书的申请...
为网站配置SSL
techdashen的博客
10-16 835
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL 层,HTTPS安全基础是 SSL,因此加密的详细内容就需要 SSL。HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间),这个系统提供了身份验证与加密通讯方法。Nginx强制跳转Https
HTTPS域名及SSL证书常识及配置
qq_34583944的博客
08-22 7405
在握手过程中,网站会向浏览器发送SSL证书,SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证明,SSL证书里面包含了网站的域名,证书有效期,证书的颁发机构以及用于加密传输密码的公钥等信息,由于公钥加密的密码只能被在申请证书时生成的私钥解密,因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致,同时还要对证书的颁发机构进行验证,如果验证失败浏览器会给出证书错误的提示。根证书是最关键的一个证书,如果根证书不受信任,它下面颁发的所有证书都不受信任。
android TV端Charles抓包及https证书配置
最新发布
03-27
android TV端Charles抓包及https证书配置
WAS9或WAS8配置HTTPS证书详细教程
03-10
本教程将详细介绍如何在 WAS 9 或 WAS 8 上配置 HTTPS 证书,以实现安全HTTPS 访问。 首先,我们需要创建一个经过证书颁发机构 (CA) 认证的密钥库文件。这通常涉及到以下几个步骤: 1. 使用 Java 提供的 `...
grafana的https协议证书配置
08-14
Grafana配置Https使用的证书 操作: 第一步:自己制作一个证书使用openssl制作然后填写一些信息,证书就制作成功 第二步:使用我制作好的证书,压缩包里有修改Grafana的grafana.ini,修改配置如下:改protocol 为 ...
[HTTPS] 免费获取安全证书配置HTTPS
m0_59598029的博客
01-24 3650
如何免费获取安全证书配置HTTPS
SSL基础:22:非交互方式生成CSR证书签名文件(配置文件方式)
知行合一 止于至善
12-15 1412
在前面的文章中介绍了非交互方式生成CSR证书签名文件的方式,方法的本质是通过-subject选项传入dn的信息,而实际上openssl更为通用的方式是通过配置文件方式来进行,用过将promopt选项设定为no,同时传入dn所需要的各项设定值,则可以很容易地实现非交互方式生成CSR文件了,而且在openssl命令这种方式使用的更为常见,而且关联起来更加容易。
https证书
yuhui666666的博客
04-17 432
https https.rar (8.2 KB) 下载次数: 1
https证书生成过程
月夜楓
11-16 902
cp /etc/pki/tls/openssl.cnf  /tmp/openssl.conf vim /tmp/openssl.cnf 找到req_extensions 这一行: 添加如下内容 req_extensions = v3_req # The extensions to add to a certificate request [v3_req] basicCo
https之SSL证书
小范的博客
01-30 586
内容大纲 1、SSL证书是由受信任的数据证书颁发机构颁发的证书,主要是帮助用户识别服务器身份以及数据传输过程加密防止数据被篡改,防劫持、防篡改、防监听。 2、一份SSL证书包含一个公钥和一个私钥。公钥用于数据加密私钥用于数据解密。 3、SSL连接产生会话服务器会将它的证书传到客户端,客户端再根据传回的证书生成会话密钥,这个会话密钥会对传输数据进行加密。 4、理解三个协议,握
详解HTTPS中的证书
Ma_shiro的博客
09-26 4407
HTTPS与HTTP 在提到HTTPS证书之前,我们都不可避免会提及HTTP与HTTPS的区别,两者都是进行报文传输的超文本传输协议,但是HTTPS却多出了一个S也就是SSL层(Secure Sockets Layer 安全套接字协议),现在也被称为TLS,我们都知道SSL中的保证安全的加密通信是一次对称加密和非对称加密的结果,但是客户端与服务端建立通信的前提就是服务端是否能够被证书发型机构CA授予证书,那证书是怎么样的呢。 证书 SSL证书可以向CA机构通过付费的方式申请,也可以自己制作。 CA机构颁发
搭建https服务--获取https证书(1)
I am a coder
12-07 1476
HTTP是明文的,很容易通过抓包等方式,获取到请求信息。导致信息被泄露,串改。HTTPS相对于HTTP,多了安全加密。客户端采用公匙加密,服务端采用私匙解密。采用HTTPS能够很大程度地提升服务安全性,而且升级到HTTPS并不复杂。 HTTPS证书的获取方式有许多: 1.可以jd的keytool工具自己制作 命令如下:      keytool -genkey -keyalg RS
ssl证书
lljxk2008的博客
08-03 1122
访问百度: https://www.baidu.com/ 其中https是访问协议, baidu.com是域名 当在浏览器地址栏输入fanyi.baidu.com 看上去前面没有加上协议, 将基拷贝出来是 http://fanyi.baidu.com/ 其实就是使用了http协议 这两种访问协议中, http是不安全的, https安全的 如果我们的项目网站没有做https化...
nginx https证书配置
10-29
nginx的https证书配置需要以下步骤: 1. 购买SSL证书并下载证书文件和私钥文件。 2. 将证书文件和私钥文件上传到服务器上。 3. 在nginx配置文件中添加SSL配置,包括证书文件路径、私钥文件路径、SSL协议版本等。 4. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值