Nginx配合OpenSSL使用

最新推荐文章于 2024-06-23 16:10:04 发布
最新推荐文章于 2024-06-23 16:10:04 发布
阅读量993 收藏 11
点赞数 8
分类专栏: 网站 文章标签: https 网络安全 web安全 服务器
本作品采用“Creative Commons Attribution-NoDerivatives 4.0 International License”(署名-禁止演绎 4.0 国际许可证)进行许可。 要查看该许可证的副本,请访问 https://creativecommons.org/licenses/by-nd/4.0/
本文链接:https://blog.csdn.net/qq_35827483/article/details/135239654
版权

OpenSSL命令最常用的命令列表及其注释:

# 生成RSA密钥对
openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:2048
openssl rsa -pubout -in private_key.pem -out public_key.pem

# 生成自签名证书
openssl req -new -x509 -sha256 -days 365 -key private_key.pem -out certificate.pem

# 查看证书信息
openssl x509 -in certificate.pem -text -noout

# 加密文件
openssl enc -aes-256-cbc -salt -in plaintext.txt -out encrypted.txt -pass pass:secret_key

# 解密文件
openssl enc -d -aes-256-cbc -in encrypted.txt -out decrypted.txt -pass pass:secret_key

# 生成PKCS#12格式的证书包
openssl pkcs12 -export -in certificate.pem -inkey private_key.pem -out certificate.p12 -name "MyCertificate"

# 从PKCS#12格式的证书包中提取证书和私钥
openssl pkcs12 -in certificate.p12 -nokeys -out certificate_extracted.pem
openssl pkcs12 -in certificate.p12 -nocerts -nodes -out private_key_extracted.pem

# 生成CA证书(自签名根证书)
openssl req -new -x509 -sha256 -days 365 -key private_key.pem -out ca_certificate.pem

# 使用CA证书签发客户端证书
openssl req -new -key client_key.pem -out client_csr.pem
openssl x509 -req -in client_csr.pem -CA ca_certificate.pem -CAkey private_key.pem -CAcreateserial -out client_certificate.pem -days 365 -sha256

# 验证证书链
openssl verify -CAfile ca_certificate.pem client_certificate.pem

要为Nginx生成SSL证书,您通常会生成一个私钥和一个证书签名请求(CSR),然后使用这个请求来获取一个由认证机构(CA)签名的证书。对于本地或测试环境,您也可以生成一个自签名的证书。以下是一个生成自签名证书的完整脚本,包含注释:

#!/bin/bash

# 定义证书输出相关的文件名
DOMAIN=mydomain.com
PRIVATE_KEY="$DOMAIN.key"
CSR="$DOMAIN.csr"
CERTIFICATE="$DOMAIN.crt"

# 创建一个新的RSA私钥用于SSL证书
# 请注意,这里使用的是2048位的密钥长度,这是目前被广泛接受的安全标准
openssl genpkey -algorithm RSA -out $PRIVATE_KEY -pkeyopt rsa_keygen_bits:2048

# 生成证书签名请求(CSR)
# 这里您需要填写组织的相关信息,如国家代码、省份、城市、组织名称等
openssl req -new -key $PRIVATE_KEY -out $CSR -subj "/C=US/ST=State/L=City/O=Organization/CN=$DOMAIN"

# 生成自签名SSL证书
# 这里的证书有效期设置为365天,您可以根据需要调整这个值
openssl req -x509 -sha256 -days 365 -key $PRIVATE_KEY -in $CSR -out $CERTIFICATE

# 输出文件信息提示
echo "私钥文件: $PRIVATE_KEY"
echo "证书签名请求(CSR)文件: $CSR"
echo "自签名证书文件: $CERTIFICATE"

# 提醒用户将私钥和证书文件复制到Nginx的相关目录
echo "请确保将私钥($PRIVATE_KEY)和证书($CERTIFICATE)复制到Nginx的SSL目录,并在Nginx配置文件中进行相应配置。"

将上述脚本保存到一个文件中,比如叫做generate_ssl.sh,然后在终端中执行以下命令来运行它:

chmod +x generate_ssl.sh
./generate_ssl.sh

执行这个脚本后,您将得到两个文件:一个是私钥文件(DOMAIN.key),另一个是自签名的证书文件(DOMAIN.crt)。您需要将这两个文件放置到Nginx的SSL目录中,并在Nginx配置文件中引用它们。以下是一个Nginx配置文件中引用SSL证书和私钥的示例:

 

server {
    listen 443 ssl;
    server_name mydomain.com;

    ssl_certificate /path/to/your/ssl/$DOMAIN.crt;
    ssl_certificate_key /path/to/your/ssl/$DOMAIN.key;

    # ... 其他配置 ...
}

请确保替换/path/to/your/ssl/为您存放SSL文件的实际路径,并且将$DOMAIN替换为您实际使用的域名。

注意:自签名证书通常只用于测试和开发目的,因为它们不会被浏览器信任。对于生产环境,您应该从一个受信任的CA获取证书。

为了让给为让安全的配置更多的使用,参考我的加强完整版本,可能需要根据您的具体需求进一步调整配置。

server {
    listen 443 ssl http2;
    server_name mydomain.com;

    ssl_certificate /path/to/your/ssl/mydomain.com.crt;
    ssl_certificate_key /path/to/your/ssl/mydomain.com.key;

    # 强化SSL安全性
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    # 启用OCSP Stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    # 添加安全相关的响应头
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection "1; mode=block";

    # 静态文件服务
    location / {
        root /path/to/your/root;
        index index.html index.htm;
        try_files $uri $uri/ =404;
    }

    # 代理设置(如果您正在使用后端服务器)
    location /app {
        proxy_pass http://backend_server;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    # 配置日志文件路径
    access_log /var/log/nginx/mydomain.com.access.log;
    error_log /var/log/nginx/mydomain.com.error.log;

    # ... 其他配置 ...
}

这个配置文件提供了以下功能:

  1. 监听443端口并通过SSL加密通信。
  2. 启用HTTP/2以提高性能。
  3. 设置SSL证书和私钥的路径。
  4. 配置SSL协议和密码套件,增强安全性。
  5. 启用OCSP Stapling以减少SSL/TLS握手时间。
  6. 添加一些安全相关的HTTP头部。
  7. 设置静态文件服务的路径和规则。
  8. 示例后端代理配置,用于将请求转发到后端应用服务器。
  9. 配置日志文件的路径。

确保您已经拥有有效的SSL证书,并且正确设置了文件路径。

Nginx的配置通常分布在多个文件中,主要包括:

  1. 主配置文件 (nginx.conf):这是Nginx的全局配置文件,通常位于/etc/nginx/nginx.conf
  2. 服务器块配置文件:这些文件定义了特定的服务器块(虚拟主机),通常位于/etc/nginx/sites-available/,并且通过符号链接到/etc/nginx/sites-enabled/以启用它们。
  3. mime.types文件:定义了发送给客户端的文件类型的MIME类型。
  4. 自定义配置片段:这些片段可能包括SSL配置、日志配置等,通常包含在主配置文件或服务器块配置中。

给出了一个简化版的nginx.conf主配置文件模板,包含了注释以解释每个部分的用途:

# 用户和组设置(通常为nginx或www-data)
user nginx;

# 设置Nginx进程数,通常设置为可用CPU核心数
worker_processes auto;

# 错误日志的路径和日志级别
error_log /var/log/nginx/error.log warn;

# 进程文件的路径
pid /var/run/nginx.pid;

# 工作模式和连接数上限
events {
    # 每个进程最大连接数(包括连接到后端服务器的连接)
    worker_connections 1024;
}

# http块包含了一系列的HTTP设置
http {
    # 包含mime.types文件,定义了MIME类型
    include /etc/nginx/mime.types;
    # 默认文件类型
    default_type application/octet-stream;

    # 日志格式定义
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for"';

    # 访问日志的路径
    access_log /var/log/nginx/access.log main;

    # 发送文件时使用的高效传输模式
    sendfile on;
    # 防止网络阻塞
    tcp_nopush on;
    # 防止网络超时
    tcp_nodelay on;

    # 保持连接的超时时间
    keepalive_timeout 65;

    # 包含额外的参数(如SSL参数)
    include /etc/nginx/conf.d/*.conf;
    
    # 启用Gzip压缩
    gzip on;
    gzip_disable "msie6";
    # ...其他Gzip设置...

    # 包含虚拟主机的配置
    include /etc/nginx/sites-enabled/*;

    # ...其他HTTP设置...
}

http块中,您可以添加额外的模块和设置,例如SSL配置、缓存设置、负载均衡等。每个服务器块(虚拟主机)的配置通常保存在单独的文件中,并包括在/etc/nginx/sites-enabled/目录下,如之前提供的SSL服务器配置示例。

可以使用命令systemctl reload nginxnginx -s reload

可以使用命令nginx -t进行测试,并确保Nginx服务重新加载了配置文件,可以使用命令systemctl reload nginxnginx -s reload

 

版权所有 © 2023  王一帆

本作品采用“署名-相同方式共享 4.0 国际 (CC BY-SA 4.0)”进行许可。完整许可证文本可在 https://creativecommons.org/licenses/by-sa/4.0/ 查阅。

朱雀333
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx学习笔记
一个有趣、有料、有内涵的地方!
08-12 1190
安装 下载必要组件 nginx下载地址 http://nginx.org/en/download.html pcre库下载地址,nginx需要 ...
nginx安装openssl
梦之旅的博客
06-01 6461
1. 判断是否有安装openssl 运行命令 operssl version [root@localhost logs]# openssl version OpenSSL 1.0.2k-fips 26 Jan 2017 [root@localhost logs]# 如果有以上内容说输出明你已经安装了operssl不用再安装(跳过步骤2),如果没有请进行步骤2的操作 openssl介绍: OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。
物联网系统运维——移动电商服务器单点部署,web服务器部署,Nginx Web服务介绍,Nginx性能,部署,架构,及实验:安装并设置Nginx(重点)
最新发布
WZY22502701的博客
06-23 1317
●模块化设计良好的扩展性,可以通过模块方式进行功能扩展。主控进程和worker是同步实现的,一-个worker出现问题,会立刻启动另一个worker。一万个长连接(keep-alive) , 仅消耗2.5MB内存。不用停止服务器,实现更新配置文件,更换日志文件、更新服务器程序版本。官方数据每秒支持5万并发。优秀的反向代理功能和灵活的负载均衡策略。
nginx-openssl依赖
12-01
Nginx服务器软件依赖库openssl-1.0.1s.tar.gz,在linux中解压即可........
Nginx安装配置OpenSSL
weixin_42306639的博客
08-10 3402
这里写自定义目录标题Nginx安装配置OpenSSL Nginx安装配置OpenSSL 1.安装 yum install openssl openssl-devel -y 2.切换到源包 bash ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_modul 3.配置完 执行 make 4.备份安装好的nginx cp /usr/local/nginx/sbin/nginx /usr/lo
Nginx使用openssl证书开启https服务
alun550的博客
11-19 3926
Nginx开启https服务OpensslSSL原理HTTP通信SSLHTTPS下载安装生成证书Nginx配置                 Openssl   SSL原理 基本术语: 加密 —— 使用公钥对数据进行加密的过程 私钥 —— 使用私钥对加密过的数据进行解密的过程 签名 —— 使用私钥对数据进行加密的过程 验证签名 —— 使用公钥对加密过的数据进行解密的过程   注:公钥和私钥均可对数据
Nginxopenssl的配置以及秘钥和证书的生成
易大飞
06-14 1858
Nginxopenssl的配置以及秘钥和证书的生成   前期准备阶段:需要文件nginx-1.8.1.zip,openssl-1.0.1.tar.gz,nginx-sticky-module-1.1.tar.gz,pcre-8.35.zip,zlib-1.2.11.tar.gz。 注:所有需要的压缩包将统一放到nginx-1.8.1.zip中,这样方便后期使用。   一. 配置Ngin
NGINX使用OpenSSL自签证书实现HTTPS安全访问-完整版
weixin_45500120的博客
04-28 2483
启动后访问http://IP 如果端口被占用 修改/nginx/conf/nginx.conf中http模块的监听端口。注意有可能会报pod2man的错, 删除就行, 没报错就跳过。下载完成后上传至服务器/nginx目录或者直接在服务器下载。选择你自己需要的版本, 我们这里使用最新版。可以下载本地上传或者直接服务器下载。点击受信任的根证书颁发机构–>证书。
Nginx+openssl+zlib+pcre.rar
06-03
NginxOpenSSL、zlib和PCRE是四个在Web服务器和网络编程领域至关重要的组件,它们在构建高效、安全的互联网服务中扮演着重要角色。以下是对这些组件的详细解释: 1. **Nginx**:Nginx是一款高性能的HTTP和反向代理...
nginx+对应依赖包配合本人文章使用
06-21
本文将围绕“nginx+对应依赖包配合本人文章使用”这一主题,详细介绍Nginx的安装过程及其核心依赖包,帮助读者深入理解其工作原理和配置方法。 首先,我们来看一下Nginx的安装过程中必不可少的几个依赖包: 1. **...
nginx 离线安装包nginx 离线安装包
06-13
5. **启动Nginx**:使用`/usr/local/nginx/sbin/nginx`(或相应安装路径)启动Nginx服务。 6. **验证运行**:访问服务器IP地址,如果看到Nginx默认的欢迎页面,表示安装成功。 常见使用场景: 1. **Web服务器**:...
nginx配置https详细步骤,从安装OpenSSLNginx,到生成证书,nginx配置(包括配置http请求转发到https)等
07-31
网络上很难找到非常详细的关于nginx配置https的全流程,大多都是一小段,要么缺A要么缺B。 本文档通过真实的实践经验,从安装OpenSSLNginx,到利用openssl生成证书,配置nginxhttps(包括配置http请求转发到https)等,详细总结出nginx配置https的步骤,最终能帮助你配置成功。
nginx安装包.zip
04-24
安全方面,Nginx可以配合Let's Encrypt提供免费的SSL证书,同时,应限制对敏感目录的访问,如禁止列出目录内容,防止目录遍历攻击。 10. **日志与监控** Nginx的日志功能强大,可以通过`access_log`和`error_log`...
Nginx添加SPDY功能
09-30
也可以使用诸如curl命令配合spdy参数来测试SPDY是否正常工作。 值得注意的是,SPDY协议虽然由Google主导,但后来HTTP/2协议的开发接替了SPDY的发展和维护工作,HTTP/2是基于SPDY协议的升级和标准化版本。尽管如此,...
Nginx通过OpenSSL创建自签名证书配置HTTPS及二级目录
彭世瑜的博客
12-29 3913
创建私钥秘钥和证书 mkdir -p /usr/local/nginx/conf/ssl/ cd /usr/local/nginx/conf/ssl/ # 创建服务器私钥 openssl genrsa -des3 -out server.key 1024 # 创建签名请求的证书(CSR) openssl req -new -key server.key -out server.csr # 标...
nginx使用OpenSSL自签证书支持https
因上努力,果上随缘。但行好事,莫问前程。
11-15 1001
至此全部完成,使用浏览器访问http://nginx.test.com和https://nginx.test.com。
Nginx反向代理并使用OpenSSL生成的证书搭建https服务
QWERTYUIOPPLM123的博客
04-27 737
Nginx反向代理并使用OpenSSL生成的证书搭建https服务,并且关于cookie的domain,path配置,以及值得注意的问题。
nginx openssl
weixin_34195546的博客
09-07 101
分别在suse-i586_sp3与centos6.0-x86_64下安装试安装了nginxopenssl,以下把安装中出现的错误及解决方法记了下1.环境:操作系统--SUSE-i586_sp3 nginx-0.8.54 zlib-1.2.3.tar.gz pcre-8.10.tar.gz openssl-0.9.8d.tar.gz 2&g...
基于 OpenSSL 源码为 nginx 配置并安装 http_ssl_module
tobrainto
09-23 1514
基于 openssl 源码为 nginx 配置并安装 http_ssl_module
nginx 使用 openssl
06-07
nginx可以使用openssl来支持HTTPS协议,以下是nginx配置文件中使用openssl的示例: ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; location / { # 配置HTTPS相关的代理规则 } } ``` 其中,`listen`指令用于监听HTTPS的请求,`ssl`参数表示使用SSL协议,`ssl_certificate`指令用于指定证书文件的路径,`ssl_certificate_key`指令用于指定证书的私钥文件路径。在实际使用中,需要将`/path/to/cert.pem`和`/path/to/key.pem`替换为实际的证书和私钥文件的路径。 需要注意的是,使用openssl时需要确保openssl已经正确安装,并且证书和私钥文件的权限设置正确。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值