【运维知识进阶篇】集群架构-HTTPS证书详解

已于 2023-07-30 11:30:48 修改
阅读量563 收藏 4
点赞数 1
分类专栏: # 进阶运维知识 运维知识分享 文章标签: 运维 linux nginx HTTPS证书 https
于 2023-05-23 09:00:00 首次发布
不予转载
本文链接:https://blog.csdn.net/qq_37510195/article/details/130089424
版权

HTTPS证书在企业中非常重要,因为HTTP不安全,采用HTTP协议容易受到劫持和篡改,如果是采用HTTPS,数据在传输过程中加密,可以避免报文信息被窃取篡改,避免网站传输时信息泄露。实现https,要了解SSL协议,现在我们使用的大多是TLS加密协议了,HTTPS运行在应用层,TLS应用在表示层,是SSL协议发挥作用的一层,使应用层的HTTP协议在没有感知的情况下实现了数据的加密传输。 

HTTP加密传输流程

浏览器发起请求,服务端接收请求,返回给浏览器证书、证书中包含公钥,浏览器判断证书是否合法,如果不合法进行警告提示。如果合法,生成随机数,通过公钥加密随机数,把加密后的随机数传输给服务端,服务端通过私钥解密获得随机数,通过传入随机数的对称加密,对数据进行加密,将加密后的内容传输给浏览器,浏览器根据本地存储的随机数进行解密。

模拟网站被篡改

1、配置Nginx文件

[root@Web01 test]# cat /etc/nginx/conf.d/test.conf server {
	listen 80;
	server_name test.koten.com;
	root /code/test;
	index index.html;
	charset utf-8;
}

2、配置Nginx页面

[root@Web01 test]# cat /code/test/index.html 
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>我是title</title>
</head>
<body>
<article>
  <header>
    <h1>你好</h1>
  </header>
  <p>
    <b>你</b>最近过的好嘛?
  </p>
  <footer>
    <p><small>版权所有@koten</small></p>
  </footer>
</article>
</body>
</html>
[root@Web01 test]#

3、查看Nginx页面

41ae8645c6c9465ba5098a6125fe8be6.png

4、配置Nginx拦截服务器

[root@Web02 ~]# vim /etc/nginx/conf.d/jiechi_test.conf
upstream jiechi {
        server 10.0.0.7:80;
}

server {
        listen 80;
        server_name test.koten.com;

        location / {
                proxy_pass http://jiechi;
                proxy_set_header Host $http_host;
                sub_filter '<h1>你好' '<h1>我好';
                sub_filter '<small>版权所有' ' <sma
ll>开源';
        }
}
<t.conf" [New] 15L, 360C written 
[root@Web02 ~]# systemctl restart nginx

5、查看篡改后的内容

3e254485a3ae4026847ebc7fa8edaa64.png

 6、添加篡改广告

[root@web02 conf.d]# vim jiechi_test.conf
upstream jiechi {
        server 10.0.0.7:80;
}

server {
        listen 80;
        server_name test.koten.com;

        location / {
                proxy_pass http://jiechi;
                proxy_set_header Host $http_host;
                sub_filter '<h1>你好' '<h1>花生瓜子烤鱼片';
                sub_filter '<small>版权所有' ' <small><img src="https://p6.itc.cn/q_70/images03/20201226/f979021adb324417bb6dd3889698ee0b.jpeg">';
        }
}
<hi_test.conf" 15L, 459C written 
[root@Web02 ~]# systemctl restart nginx

7、查看篡改界面

d3b88955b9454daeb3be5b57aeb74416.png

证书类型介绍

 域名型DV企业型OV增强型EV
绿色地址栏小锁标记+HTTPS小锁标记+HTTPS小锁标记+企业名称+HTTPS
一般用途个人站点,简单的HTTPS加密需求电子商务站点和应用,中小型企业站点大型金融平台,大型企业和政府机构站点
审核内容域名所有权验证全面的企业身份验证,域名所有权验证最高等级的企业身份验证,域名所有权验证
颁发时长几分钟-24小时3-5工作日5-7工作日
单次申请年限1年1-2年1-2年
赔付保障金125-175万美金150-175美金

证书购买选择及注意事项

可以选择保护 一个域名www

                       五个域名www、images、cdn、test、m

                       通配符域名*.koten.com

注意

1、证书不支持续费,证书到期需要重新申请并进行替换

2、不支持三级域名解析,如test.m.koten.com

3、显示绿色,说明整个网站的URL都是HTTPS,显示黄色,说明网站代码中包含HTTP的不安全链接,显示红色,说明证书是假的或者证书过期。

 

Nginx单台服务器实现证书

1、Nginx上需要有--with-http_ssl_module模块,创建存放ssl证书的路径

[root@Web01 test]# mkdir -p /etc/nginx/ssl_key
[root@Web01 test]# cd /etc/nginx/ssl_key/
[root@Web01 ssl_key]#

2、使用openssl命令充当CA权威机构创建证书(生产不使用此方式生成证书,这是不被互联网认可的黑户证书)

[root@Web01 ssl_key]# openssl genrsa -idea -out server.key 2048
Generating RSA private key, 2048 bit long modulus
...............................+++
.....+++
e is 65537 (0x10001)
Enter pass phrase for server.key:    #输入密码6666
Verifying - Enter pass phrase for server.key:
[root@Web01 ssl_key]#

3、生成自签证书,同时去掉私钥的密码

[root@Web01 ssl_key]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
Generating a 2048 bit RSA private key
..............................................................................+++
...+++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BeiJing
Locality Name (eg, city) [Default City]:BeiJing
Organization Name (eg, company) [Default Company Ltd]:BeiJing 
Organizational Unit Name (eg, section) []:BeiJing
Common Name (eg, your name or your server's hostname) []:koten.com
Email Address []:666666@qq.com   
[root@Web01 ssl_key]# 


# req  --> 用于创建新的证书
# new  --> 表示创建的是新证书    
# x509 --> 表示定义证书的格式为标准格式
# key  --> 表示调用的私钥文件信息
# out  --> 表示输出证书文件信息
# days --> 表示证书的有效期

4、修改Nginx配置文件

[root@Web01 ssl_key]# cat /etc/nginx/conf.d/test.conf 
server {
        listen 443 ssl;
        server_name test.koten.com;
        ssl_certificate   /etc/nginx/ssl_key/server.crt;
        ssl_certificate_key  /etc/nginx/ssl_key/server.key;
        location / {
                root /code/test;
                index index.html;
        }
}

#配置将用户访问http请求强制跳转https
server {
        listen 80;
        server_name test.koten.com;
        return 302 https://$server_name$request_uri;
}
[root@Web01 ssl_key]# systemctl restart nginx
[root@Web01 ssl_key]# echo '测试ssl' > /code/test/index.html

5、浏览器访问

9cde2d6b212143ff915c06a2796a3b65.png

 

Nginx集群实现证书

1、准备LB01(10.0.0.5、172.16.1.5)做负载均衡,Web02(10.0.0.8、172.16.1.8)、Web03(10.0.0.9、172.16.1.9)两台服务器

2、配置Web02、Web03服务器监听80端口

[root@Web02 ~]# cat /etc/nginx/conf.d/ssl.conf
server {
        listen 80;
        server_name ssl.koten.com;

        location / {
                root /code/ssl;
                index index.html;
        }
}
[root@Web02 ~]# systemctl restart nginx

[root@Web03 ~]# cat /etc/nginx/conf.d/ssl.conf
server {
        listen 80;
        server_name ssl.koten.com;

        location / {
                root /code/ssl;
                index index.html;
        }
}
[root@Web03 ~]# systemctl restart nginx

3、拷贝证书到LB服务器

[root@LB01 ~]# scp -rp 172.16.1.7:/etc/nginx/ssl_key /etc/nginx/
The authenticity of host '172.16.1.7 (172.16.1.7)' can't be established.
ECDSA key fingerprint is SHA256:zQvI/tCFYssR7l6cr90EtaIA93FXJp8FmUhGtkZshlA.
ECDSA key fingerprint is MD5:0b:a1:ee:d2:75:92:1a:62:05:63:5e:d1:e8:42:13:84.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.1.7' (ECDSA) to the list of known hosts.
root@172.16.1.7's password: 
server.key       100% 1704   906.5KB/s   00:00    
server.crt       100% 1411     1.0MB/s   00:00

4、配置LB01的Nginx配置文件

[root@LB01 ~]# cat /etc/nginx/conf.d/proxy_ssl.conf 
upstream website {
        server 172.16.1.8:80;
        server 172.16.1.9:80;
}

server {
        listen 443 ssl;
        server_name ssl.koten.com;
        ssl_certificate   ssl_key/server.crt;
        ssl_certificate_key  ssl_key/server.key;
        location / {
            proxy_pass http://website;
            proxy_set_header Host $http_host;
        }
}

server {
        listen 80;
        server_name ssl.koten.com;
        return 302 https://$server_name$request_uri;
}
[root@LB01 ~]# systemctl restart nginx

5、浏览器访问 

ee4cf19d9a994786aab6f2ca4f8c0ee8.png

 

真实业务实现HTTPS证书

1、配置LB01中的wordpress和wecenter的配置

[root@LB01 ~]# cat /etc/nginx/conf.d/proxy_ssl.conf 
upstream webs {
        server 172.16.1.7:80;
        server 172.16.1.8:80;
}

#用户的http请求跳转至https
server {
        listen 80;
        server_name blog.koten.com;
        return 302 https://$server_name$request_uri;
}

server {
        listen 80;
        server_name wecenter.koten.com;
        return 302 https://$server_name$request_uri;
}   

server {
        listen 443 ssl;
        server_name blog.koten.com;
        ssl_certificate   ssl_key/server.crt;
        ssl_certificate_key  ssl_key/server.key;
        location / {
                proxy_pass http://webs;
                include proxy_params;
        }
}

server {
        listen 443 ssl;
        server_name wecenter.koten.com;
        ssl_certificate   ssl_key/server.crt;
        ssl_certificate_key  ssl_key/server.key;
        location / {
                proxy_pass http://webs;
                include proxy_params;
        }       
}
[root@LB01 ~]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@LB01 ~]# nginx -s reload

2、浏览器访问

发现均出现排版错误的情况,这是因为PHP对https不适配。

c334affbcbb045158b1dd844592533ca.png

4ce1c577a8d3406ba7705b481e658bea.png

 3、修正排版问题

需要在Web01和Web02的Wecenter和WordPress配置文件里添加如下配置,并重启Nginx

#告诉PHP我前置的负载使用的是https协议                
fastcgi_param HTTPS on;

例如Web01的WordPress配置文件

[root@Web01 wecenter]# cat /etc/nginx/conf.d/wordpress.conf 
server {
	listen 80;
	server_name blog.koten.com;
	root /code/wordpress;
	index index.php index.html index.htm;

	location ~\.php$ {
		root /code/wordpress;
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param HTTPS on;
		include fastcgi_params;
	}
}
[root@Web01 wecenter]#

4、再次访问发现恢复

e8b68a6ca8784031a092fd035c9abf55.png

ceff564551d447af832a2dc73ab3c071.png

5、phpmyadmin配置文件与问题

[root@LB01 ~]# cat /etc/nginx/conf.d/proxy_php.conf 
upstream web {
        server 172.16.1.7:80;
        server 172.16.1.8:80;
}

server {
        listen 80;
        server_name php.koten.com;
        return 302 https://$server_name$request_uri;
}

server {
        listen 443 ssl;
        ssl_certificate   ssl_key/server.crt;
        ssl_certificate_key  ssl_key/server.key;
        server_name php.koten.com;
        location / {
            proxy_pass http://web;
            include proxy_params;
        }
}
[root@LB01 ~]# systemctl restart nginx

49ed89b6cc4842be9cea5340c45ef21d.png

6、解决phpmyadmin问题

在Web01和Web02的phpmyadmin配置文件上增加如下配置:

fastcgi_param HTTPS on;

恢复正常!b64c3feb4e444e21a375f9c125e8ec80.png

 

我是koten,10年运维经验,持续分享运维干货,感谢大家的阅读和关注!

 

我是koten
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为工程师总结liunx进阶运维.docx
09-02
华为工程师的总结从Linux的入门到精通分为基础篇、进阶篇和高级篇,旨在帮助读者全面掌握Linux运维技能。 1. **Linux基础篇**: - **Linux快速入门**:涵盖Linux的基本概念、工作原理以及初识命令行界面。 - **...
华为工程师linux的笔记-第3章 .pdf
07-05
Linux进阶篇总共包含9个章节,第15章到第38章学习内容分别包括:Linux性能优化、大数据量备份、Shell企业实战基础、Shell实战高级编程、自动化运维趋势、Puppet自动化运维实战、Ansible自动化运维实战、Jenkins企业...
Nginx负载均衡和HTTPS配置及集群搭建
weixin_30316097的博客
06-23 694
Nginx的高可用(HA)配置 1、高可用配置结构(画图说明) 2、KeepAlived的安装和配置 1、安装 yum install keepalived 2、keepalived.conf配置文件配置 global_defs { notification_mail { ## 指定keepalived在发生切换时需要发送的邮箱 } notif...
Nginx常用命令、集群以及HTTPS配置
一生信仰
01-31 7730
Nginx简介、Nginx常用命令、Nginx集群SSLHTTPS
谈谈https证书
最新发布
雨中深巷的油纸伞
03-28 2645
Transport Layer Security,同样是为了保证数据安全的加密协议层,是SSL的增强版,SSL有1.0,2.0,3.0版本,TLS目前1.0,1.1,1.2,1.3,TLS的1.0版本就是SSL的3.0。:相当于SSL的一个实现,如果把SSL规范看成OO中的接口,那么OpenSSL则认为是接口的实现,个人理解openssl是作为针对SSL/TLS的一个工具,包括对证书的解析,个人颁发,证书编码转化等。tls握手阶段,会根据随机值等协商一个对称加密的密钥,后面的通信都是使用这个密钥来加密。
HTTPS详解
李爱乐
03-31 9082
HTTPSSSL/TLS,ASL,数字证书,DHE,ECDHE。 介绍了HTTPS的加密过程,和数字证书为什么能保证不会被篡改,还有HTTPS最后是怎么生成会话秘钥(对称秘钥)的。
nginx+tomcat配置集群(https,域名)
zalan01408980的博客
09-02 630
打开nginx里面的conf/nginx.conf文件 按如下修改配置文件
nginx + tomcat + https 配置
石头
03-05 429
一:nginx 配置https (1)#生成私钥 #openssl genrsa -des3 -out server.key 1024 (2)#生成证书请求文件 #openssl req -new -key server.key -out server.csr 输出内容为: Enter pass phrase for root.key: ← 输入前面创建的密码 Countr...
华为工程师linux笔记-第1章.pdf
07-05
Linux进阶篇总共包含9个章节,第15章到第38章学习内容分别包括:Linux性能优化、大数据量备份、Shell企业实战基础、Shell实战高级编程、自动化运维趋势、Puppet自动化运维实战、Ansible自动化运维实战、Jenkins企业...
很久没来,丢一份前阵子做的 10 万连接性能测试 (fibjs, golang, nginx, nodejs)
Larry的博客
05-19 8292
测试内容 动态HTTP服务器极限性能,分为两项: 优化前后的各版本fibjs优化后的fibjs、使用cluster的nodejs、基于模块的nginx、使用多核的go 测试环境及方法 服务器 CPU:8核(4sockets*2cores),每核2.1GHz 内存:24GB 客户端(10个) CPU:1核,每核2.1GHz 内存:1GB 测试流程: 首先在服
阿里云服务器搭建apache+https+集群tomcat
ardo_pass的博客
01-10 3533
当需要搭建apache+https+tomcat集群时,请参看第1节。 当需要搭建apache+tomcat集群时,请参看第2节。 1、 apache+https+tomcat集群 1.1 安装openssl 执行 ~> openssl version -a ,查看系统预装openssl版本。 放弃使用系统预装的openssl。 安装最新
Nginx + Tomcat + HTTPS极速配置
热门推荐
AllenRen的博客
04-30 2万+
由于最近在学习微信小程序开发,所以在阿里云申请了一个免费的https证书,这个证书申请起来十分简单,大约十几分钟就好。所以不再赘述. 更多信息可以访问我的个人网站:https://www.cjluzzl.cn 进入下载证书页面 把证书上传到服务器,假设你的证书是abc.pem和abc.key,我这里放到/etc/nginx/cert文件夹下了,cert文件夹是我自己创建的,使用m
Lvs配置Tomcat集群 Https协议(SSL)
大新博客
08-10 5133
Lvs配置Tomcat集群 Https协议(SSL) 1、先完成对Tomcat的https配置 ,多个tomcat需要把证书复制到每一个tomcat服务器下面 tomcat配置Https参考: 配置Tomcat使用https协议(配置SSL协议) 2、修改keepalived.conf配置文件 Keepalived使用参考: CentOS7 Keepalived+LVS 负
HTTPS解析
dreamchasering的博客
09-11 637
一、HTTPS与HTTP的区别? 1、https协议需要ca申请证书或自制证书; 2、http的信息是明文传输,https是更具安全性的ssl加密的密文传输; 3、http是直接与TCP进行数据传输,而https是经过一层SSL(OSI表示层),用的端口也不一样,前者是80,后者是443; 4、http的连接很简单,是无状态的;https协议是由SSL+HTTP协议构建的可进行加密传输、身
深度解析HTTPS原理
常见的专栏
04-01 2675
HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷是为了保证数据安全。 近两年,Google、Baidu、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 国内外的大型互联网公司很多也都已经启用了全站 HTTPS,这也是未来
HTTPS原理和CA证书申请(满满的干货)
黄亚的博客
03-05 8296
读到这篇博客,对https的原理介绍的比较详细且生动,为了防止丢失,mark一下,以下是原文链接 https://blog.51cto.com/11883699/2160032 众所周知,WEB服务存在http和https两种通信方式,http默认采用80作为通讯端口,对于传输采用不加密的方式,https默认采用443,对于传输的数据进行加密传输 目前主流的网站基本上开始默认采用HTTPS作为通信...
SSL协议详解
diejia1113的博客
10-06 634
背景介绍 最近在看《密码学与网络安全》相关的书籍,这篇文章主要详细介绍一下著名的网络安全协议SSL。 在开始SSl介绍之前,先给大家介绍几个密码学的概念和相关的知识。 1、密码学的相关概念 密码学(cryptography):目的是通过将信息编码使其不可读,从而达到安全性。明文(plain text):发送人、接受人和任何访问消息的人都能理解的消息。密文(...
运维制度及流程-最新版.pdf
11-26
...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是koten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值