https服务部署指南

已于 2022-12-06 18:00:14 修改
阅读量2.6k 收藏 4
点赞数
分类专栏: 网络安全 tls CA证书 文章标签: https 服务器 网络
于 2022-12-06 17:59:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengrui18/article/details/128207399
版权
网络安全 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
tls
1 篇文章 0 订阅
订阅专栏
CA证书
1 篇文章 0 订阅
订阅专栏

1.概念

https服务的证书分布如下图:
客户端:CA证书
服务器:服务器证书,服务器密钥
在这里插入图片描述

2.证书生成&验证

2.1 证书生成

假设我们的域名为: www.contoso.com

创建CA私钥

openssl ecparam -out contoso.key -name prime256v1 -genkey

创建CA证书申请,这里设置Common Name(域名): www.cotoso.com,其它自己选择就行

openssl req -new -sha256 -key contoso.key -out contoso.csr

生成CA根证书

openssl x509 -req -sha256 -days 365 -in contoso.csr -signkey
contoso.key -out contoso.crt

创建服务器端私钥

openssl ecparam -out fabrikam.key -name prime256v1 -genkey

创建服务器的安全证书申请,这里设置Common Name(域名): www.contoso.com,其它自己选择就行

openssl req -new -sha256 -key fabrikam.key -out fabrikam.csr
生成服务器安全证书
openssl x509 -req -in fabrikam.csr -CA contoso.crt -CAkey contoso.key
-CAcreateserial -out fabrikam.crt -days 365 -sha256

2.2 证书验证

openssl verify -CAfile contoso.crt fabrikam.crt

提示如下内容,表示验证通过:

fabrikam.crt: OK

2.3 客户端安装证书

contoso.crt:根证书
sudo mkdir /usr/local/share/ca-certificates/extra
sudo cp certs/contoso.crt /usr/local/share/ca-certificates/extra
sudo cp server.crt /usr/share/ca-certificates/mozilla

sudo dpkg-reconfigure ca-certificates

  • 选择 Yes
  • 按空格选中刚才新增的证书: extra/rootCA.crt 和 mozilla/rootCA.crt
  • 按 Tab 切到 Ok并确认

sudo update-ca-certificates

查看是否导入成功,打开文件: /etc/ssl/certs/ca-certificates.crt
查看里面是否有contoso.crt的相关证书内容

检查文件 /etc/ca-certificates.conf, 确保刚才新增的两条记录前没有!符号

chrome浏览器安装证书:
打开Chrome浏览器, 访问 chrome://settings/certificates, 切换到 Authorities, 然后选择 Import 导入 rootCA.crt 文件, 重启浏览器即可

3.nginx 配置

基于nginx服务器进行本地验证

1.3.1 修改/etc/hosts

在最后一行增加如下内容:

127.0.0.1 www.contoso.com

1.3.2 修改配置

user www-data;
worker_processes auto;
pid /run/nginx.pid;

events {
    use epoll;
	worker_connections 768;
	# multi_accept on;
}

http {

	##
	# Basic Settings
	##

	sendfile on;
	tcp_nopush on;
	tcp_nodelay on;
	keepalive_timeout 65;
	types_hash_max_size 2048;
	# server_tokens off;

	# server_names_hash_bucket_size 64;
	# server_name_in_redirect off;

	include /etc/nginx/mime.types;
	default_type application/octet-stream;

	##
	# SSL Settings
	##

	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
	ssl_prefer_server_ciphers on;

	##
	# Logging Settings
	##

	access_log /var/log/nginx/access.log;
	error_log /var/log/nginx/error.log;

	##
	# Gzip Settings
	##

	gzip off;
	gzip_disable "msie6";

	# gzip_vary on;
	# gzip_proxied any;
	# gzip_comp_level 6;
	# gzip_buffers 16 8k;
	# gzip_http_version 1.1;
	# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

	##
	# Virtual Host Configs
	##

	#以下属性中,以ssl开头的属性表示与证书配置有关。
	server {
		listen 443 ssl;
    		#配置HTTPS的默认访问端口为443
    		#如果未在此处配置HTTPS的默认访问端口,可能会造成Nginx无法启动。
    		#如果您使用Nginx 1.15.0及以上版本,请使用listen 443 ssl代替listen 443和ssl on。
    		server_name www.contoso.com;
    		root /html;
    		index index.html index.htm;
    		ssl_certificate /etc/nginx/certs/contoso-server/fabrikam.crt;  
    		ssl_certificate_key /etc/nginx/certs/contoso-server/fabrikam.key; 
    		ssl_session_timeout 5m;
    		ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    		#表示使用的加密套件的类型。
    		ssl_protocols TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型,您需要自行评估是否配置TLSv1.1协议。
    		ssl_prefer_server_ciphers on;
    		location / {
        		root /html;  #Web网站程序存放目录。
        		index index.html index.htm;
    		}
	}

	include /etc/nginx/conf.d/*.conf;
	include /etc/nginx/sites-enabled/*;
}

配置完成之后,重启nginx服务器

sudo service nginx restart

4.测试验证

curl -vvl https://www.contoso.com 或者chrome浏览器直接输入网址访问
浏览器显示:
在这里插入图片描述
curl提示如下内容,表示部署成功。

➜  msquic git:(master)curl -vvl https://www.contoso.com 
* Rebuilt URL to: https://www.contoso.com/
*   Trying 127.0.0.1...
* Connected to www.contoso.com (127.0.0.1) port 443 (#0)
* found 158 certificates in /etc/ssl/certs/ca-certificates.crt
* found 637 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_ECDSA_AES_256_GCM_SHA384
* 	 server certificate verification OK
* 	 server certificate status verification SKIPPED
* 	 common name: www.contoso.com (matched)
* 	 server certificate expiration date OK
* 	 server certificate activation date OK
* 	 certificate public key: EC
* 	 certificate version: #1
* 	 subject: C=CN,ST=Beijing,L=Beijing,O=tusen,OU=tsp,CN=www.contoso.com,EMAIL=rui.peng@tusen.ai
* 	 start date: Sat, 03 Dec 2022 09:33:45 GMT
* 	 expire date: Sun, 03 Dec 2023 09:33:45 GMT
* 	 issuer: C=CN,ST=Beijing,L=Beijing,O=tusen,OU=tsp,CN=www.contoso.com,EMAIL=rui.peng@tusen.ai
* 	 compression: NULL
* ALPN, server accepted to use http/1.1
> GET / HTTP/1.1
> Host: www.contoso.com
> User-Agent: curl/7.47.0
> Accept: */*
> 
< HTTP/1.1 200 OK
< Server: nginx/1.10.3 (Ubuntu)
< Date: Sun, 04 Dec 2022 01:29:01 GMT
< Content-Type: text/html
< Content-Length: 4251
< Last-Modified: Thu, 16 Dec 2021 08:20:02 GMT
< Connection: keep-alive
< ETag: "61baf6b2-109b"
< Accept-Ranges: bytes
< 
<!DOCTYPE html><html><head><meta charset=utf-8><meta http-equiv=X-UA-Compatible content="IE=edge,chrome=1"><meta name=viewport content="width=device-width,initial-scale=1,maximum-scale=1,user-scalable=no"><link rel=icon href=/favicon.ico><title>IotManager Web</title><link href=/static/css/chunk-elementUI.ded27da0.css rel=stylesheet><link href=/static/css/chunk-libs.5cf311f0.css rel=stylesheet><link href=/static/css/app.d583156c.css rel=stylesheet></head><body><noscript><strong>We're sorry but IotManager Web doesn't work properly without JavaScript enabled. Please enable it to continue.</strong></noscript><div id=app></div><script>(function(e){function t(t){for(var r,o,c=t[0],i=t[1],f=t[2],l=0,d=[];l<c.length;l++)o=c[l],a[o]&&d.push(a[o][0]),a[o]=0;for(r in i)Object.prototype.hasOwnProperty.call(i,r)&&(e[r]=i[r]);s&&s(t);while(d.length)d.shift()();return u.push.apply(u,f||[]),n()}function n(){for(var e,t=0;t<u.length;t++){for(var n=u[t],r=!0,o=1;o<n.length;o++){var c=n[o];0!==a[c]&&(r=!1)}r&&(u.splice(t--,1),e=i(i.s=n[0]))}return e}var r={},o={runtime:0},a={runtime:0},u=[];function c(e){return i.p+"static/js/"+({}[e]||e)+"."+{"chunk-173a56da":"13012a76","chunk-26bfb40b":"ba7fc92e","chunk-2d0aadaf":"e559c2b3","chunk-4de1c2b6":"fb493dfc","chunk-613c7281":"68f8f9b3"}[e]+".js"}function i(t){if(r[t])return r[t].exports;var n=r[t]={i:t,l:!1,exports:{}};return e[t].call(n.exports,n,n.exports,i),n.l=!0,n.exports}i.e=function(e){var t=[],n={"chunk-173a56da":1,"chunk-26bfb40b":1,"chunk-4de1c2b6":1,"chunk-613c7281":1};o[e]?t.push(o[e]):0!==o[e]&&n[e]&&t.push(o[e]=new Promise((function(t,n){for(var r="static/css/"+({}[e]||e)+"."+{"chunk-173a56da":"532dc47d","chunk-26bfb40b":"b07ef703","chunk-2d0aadaf":"31d6cfe0","chunk-4de1c2b6":"a37cd815","chunk-613c7281":"09102bda"}[e]+".css",a=i.p+r,u=document.getElementsByTagName("link"),c=0;c<u.length;c++){var f=u[c],l=f.getAttribute("data-href")||f.getAttribute("href");if("stylesheet"===f.rel&&(l===r||l===a))return t()}var d=document.getElementsByTagName("style");for(c=0;c<d.length;c++){f=d[c],l=f.getAttribute("data-href");if(l===r||l===a)return t()}var s=document.createElement("link");s.rel="stylesheet",s.type="text/css",s.onload=t,s.onerror=function(t){var r=t&&t.target&&t.target.src||a,u=new Error("Loading CSS chunk "+e+" failed.\n("+r+")");u.code="CSS_CHUNK_LOAD_FAILED",u.request=r,delete o[e],s.parentNode.removeChild(s),n(u)},s.href=a;var h=document.getElementsByTagName("head")[0];h.appendChild(s)})).then((function(){o[e]=0})));var r=a[e];if(0!==r)if(r)t.push(r[2]);else{var u=new Promise((function(t,n){r=a[e]=[t,n]}));t.push(r[2]=u);var f,l=document.createElement("script");l.charset="utf-8",l.timeout=120,i.nc&&l.setAttribute("nonce",i.nc),l.src=c(e),f=function(t){l.onerror=l.onload=null,clearTimeout(d);var n=a[e];if(0!==n){if(n){var r=t&&("load"===t.type?"missing":t.type),o=t&&t.target&&t.target.src,u=new Error("Loading chunk "+e+" failed.\n("+r+": "+o+")");u.type=r,u.request=o,n[1](u)}a[e]=void 0}};var d=setTimeout((function(){f({type:"timeout",target:l})}),12e4);l.onerror=l.onload=f,document.head.appendChild(l)}return Promise.all(t)},i.m=e,i.c=r,i.d=function(e,t,n){i.o(e,t)||Object.defineProperty(e,t,{enumerable:!0,get:n})},i.r=function(e){"undefined"!==typeof Symbol&&Symbol.toStringTag&&Object.defineProperty(e,Symbol.toStringTag,{value:"Module"}),Object.defineProperty(e,"__esModule",{value:!0})},i.t=function(e,t){if(1&t&&(e=i(e)),8&t)return e;if(4&t&&"object"===typeof e&&e&&e.__esModule)return e;var n=Object.create(null);if(i.r(n),Object.defineProperty(n,"default",{enumerable:!0,value:e}),2&t&&"string"!=typeof e)for(var r in e)i.d(n,r,function(t){return e[t]}.bind(null,r));return n},i.n=function(e){var t=e&&e.__esModule?function(){return e["default"]}:function(){return e};return i.d(t,"a",t),t},i.o=function(e,t){return Object.prototype.hasOwnProperty.call(e,t)},i.p="/",i.oe=function(e){throw console.error(e),e};var f=window["webpackJsonp"]=window["webpackJsonp"]||[],l=f.push.bind(f);f.push=t,f=f.slice();for(var d=0;d<f.length;d++)t(f[d]);var s=l;n()})([]);</script><script src=/static/js* Connection #0 to host www.centoso.com left intact
/chunk-elementUI.6a617afb.js></script><script src=/static/js/chunk-libs.489893d8.js></script><script src=/static/js/app.66791ae2.js></script></body></html>
章之京
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPS权威指南服务器和WEB应用上部署
12-01
HTTPS权威指南服务器和WEB应用上部署 降低积分,分享给所有人!
TomcatSSL证书部署指南
05-31
TomcatSSL证书部署指南 沃通的,但都可以通用。TomcatSSL证书部署指南 沃通的,但都可以通用
手把手带你免费部署https
TIME2016的博客
08-20 3634
目录: https概述 申请免费ssl证书流程 部署https 1、https概述 HTTP HTTP(HyperText Transfer Protocol:超文本传输协议)是一种用于分布式、协作式和超媒体信息系统的应用层协议。 简单来说就是一种发布和接收 HTML 页面的方法,被用于在 Web 浏览器和网站服务器之间传递信息。 HTTP 默认工作在 TCP 协议 80 端口,用户访问网站 http:// 打头的都是标准 HTTP 服务。 HTTP 协议以明文方式发送内容,不提供任何方式的数据加密,如
HTTPS部署(基于阿里云)
最新发布
Redamancy_Xun的博客
05-03 805
域名(通过ICP备案)、阿里云ECS服务器(域名解析)
网站安全之HTTPS部署解决方案
码农飞上天
03-04 4150
网站安全之HTTPS部署解决方案 HTTPS全称为Hypertext Transfer Protocol over Secure Socket Layer,中文含义为“超文本传输协议在安全加密字层”,简单来说就是加密数据传输,通俗的说就是安全连接。 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。 它使用安全套接字层(SSL)进行信息交换
如何部署配置支持https访问
qq_24575467的博客
11-03 129
SSL(Secure Sockets Layer)证书,即安全套接字层证书,是一种数字证书,用于加密和保护网站上的数据传输。SSL证书可以保护网站免受黑客攻击、窃取用户信息等安全威胁,提高网站的可信度和安全性。
https证书服务器怎么完成部署
蔚可云的博客
11-09 3087
HTTPS是一种由http协议和SSL证书一同搭建的网络协议,也被称为https证书。部署https证书服务器的网站也又更高的安全以及可信度。随着人们对于网络安全意识的提高,也使得https证书服务器网络上的需求在不断增加。那么https证书服务器要如何进行部署呢?这是很多人,包括个人、企业单位都想了解的事情。下面小编将带大家做一个简单的了解。 ​ 关于https证书服务器部署: 1、生成证书请求文件,即制作CSR文件:在进行服务器证书的申请之前,用户需要在对应的服务器上制作相关的C..
ssl(https部署指南
Know More
11-06 1万+
Author:Chinvi/lujw 一、  相关介绍 1.       HTTPS: 在http(超文本传输协议)基础上提出的一种安全的http协议,因此可以称为安全的超文本传输协议。 http协议直接放置在TCP协议之上,而https提出在http和TCP中间加上一层加密层。从发送端看,这一层负责把http的内容加密后送到下层 的TCP,从接收方看,这一层负责将TCP送来的数据解密还原成
https权威指南
05-12
https权威指南服务器和WEB应用上部署SSL TLS和PKL 高清 电子书 下载 pdf [(英)LVAN RISTIC著;杨洋,李振宇,蒋锷,周辉,陈传文译][人民邮电出版社][2016.09][418页]sample.pdf
HTTPS权威指南
09-28
本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、...
Https权威指南-web 安全必备
08-13
本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、...
如何在服务器部署https服务
ddwddw4的博客
11-22 5848
因为微信小程序的接口必须使用https的协议,为了使小程序能正常上线,所以研究了下服务器https部署。(PS:已经是半年多前的事情了,为了防止遗忘,还是稍微做笔记回顾下) 首先我自己买的是腾讯的服务器,并且在腾讯云申请的证书,当然你也可以买别的服务器。下面只介绍腾讯云的示例: 首先腾讯云申请证书,免费的https://console.cloud.tencent.com/ssl, ...
内部web服务器部署HTTPS(nginx + 宝塔面板设置)
应公子的专栏
07-26 770
在BS应用研发过程中,很多浏览器的功能需要在开启web服务器https功能才能实现,例如chrome浏览器的系统剪切板(Ctrl+C/Ctrl+V)的使用,但是开发过程中,一般使用内部的服务器,只有IP地址,而没有域名,通过购买或者免费的SSL证书无法绑定IP地址,因此需要一些方法配置能够使用内部IP地址的web服务器的SSL证书,以实现HTTPS的访问。右边的“证书(PEM格式)来自于生成的文件:localhost+3.crt。2)宝塔面板:用于配置web网站,此处我使用的nginx的web服务器
HTTPS服务
蒙强的博客
01-15 1064
HTTPS服务 一、HTTPS的工作流程 1.服务端将公钥给第三方机构,第三方机构用私钥将服务端的公钥进行加密(数字证书)。 2.客户端请求服务端,服务端返回给客户端数字证书,浏览器内置一个受信任的CA机构列表,进行验证是否正确。 3.客户端将已有的第三方机构的公钥进行证书的解密,将解密后的服务端公钥获取到进行数据加密,传给服务端,服务端用私钥解密。 二、HTTPS定义 H
申请https域名,证书和部署流程
dong99feng的博客
09-27 5762
我把申请https域名,证书和部署流程,大致整理了一下。同道中人,以后遇到类似业务,可以参照这个。少踩一下坑! 一 : 相关知识 SSL安全套接层(Secure Socket Layer) SSL证书是数字证书的一种,就像是我们平常用的驾驶证和营业执照的电子证书副本一样。因为配置在服务器上,所以被我们称为SSL服务器证书。 https://www.wosign.com/faq/faq-...
搭建自有HTTPS环境
wzc_ss的博客
12-23 1248
搭建自有HTTPS环境 搭建自有HTTPS环境 服务器配置https协议,三种免费的方法: 1.Linux自签(OPENSSL生成SSL自签证书) 2.阿里云免费证书 3.Let’s Encrypt永久免费SSL证书【墙裂推荐】 一、Linux自签(OPENSSL生成SSL自签证书) 第1步:生成私钥 执行如下命令生成一个RSA私钥 //生成rsa私钥,des3算法,1024位强度,ssl.key...
本地安排上HTTPS的最佳途径~
全栈空间
09-21 1978
抛弃http的API们这年头没有https都没法开发软件了,web标准上近几年的api们清一色地要求https,否则就罢工!它们包括但不限于:Notification:系统通知Geolo...
linux ca-certificates维护openssl证书
热门推荐
云行雨施 品物流形
09-14 1万+
SSL证书的维护由ca-certificates来提供支持 https://packages.debian.org/source/sid/ca-certificates Debian 软件包源码仓库(VCS: Git) https://anonscm.debian.org/git/collab-maint/ca-certificates.git Debian 软件包
skywalking服务部署
08-18
部署Apache SkyWalking服务,您可以按照以下步骤进行操作: 1. 下载SkyWalking发行版:您可以从Apache SkyWalking的官方网站(https://skywalking.apache.org/downloads/)下载最新的稳定版本。 2. 解压缩发行版:将下载的压缩包解压到您选择的目录中。 3. 配置代理:如果您的服务部署在代理后面,请确保SkyWalking代理可以访问您的服务。 4. 配置探针:根据您的应用程序框架,选择合适的探针,并将其添加到应用程序中。SkyWalking支持多种语言和框架,如Java、Python、Go等。 5. 配置SkyWalking服务器:编辑`config/application.yml`文件,根据您的需求进行配置。您可以配置数据存储方式(如Elasticsearch、MySQL等)、采样率、告警规则等。 6. 启动SkyWalking服务器:运行`bin/startup.sh`(Linux/Mac)或`bin/startup.bat`(Windows)启动SkyWalking服务器。 7. 访问SkyWalking控制台:在浏览器中打开`http://localhost:8080`(默认端口)访问SkyWalking控制台。如果一切正常,您应该能够看到应用程序的性能指标和跟踪数据。 请注意,具体的部署步骤可能因您的环境和需求而有所不同。建议您参考Apache SkyWalking的官方文档和部署指南,以便获得更详细的信息和指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值