Nginx从HTTP到HTTPS:实现网站安全升级

已于 2024-02-29 11:19:09 修改
阅读量1.2w 收藏 39
点赞数 32
分类专栏: # Linux运维笔记 # 网络安全/运维 Linux 专栏 文章标签: http nginx https Nginx HTTPS改造 网站安全升级 明文传输 漏洞整改
于 2024-02-29 11:18:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41840843/article/details/136363008
版权

Nginx从HTTP到HTTPS:实现网站安全升级



💖The Begin💖点点关注,收藏不迷路💖

1.1 前言

在当今互联网时代,网站安全性越来越受到重视。随着HTTPS协议的普及,越来越多的网站开始考虑将自己的网站从HTTP升级为HTTPS,以提升用户数据的安全性和信任度。

本文将介绍如何使用Nginx来实现网站从HTTP到HTTPS的改造,以及一些常见的注意事项和问题解决方案。

1.2 为什么需要将网站从HTTP升级为HTTPS?

HTTPS协议通过加密用户和网站之间的数据传输,可以有效防止中间人攻击、窥探和数据篡改,提升用户数据的安全性。

同时,使用HTTPS还可以提升网站的信任度,对搜索引擎排名和SEO也有一定的影响。

因此,将网站从HTTP升级为HTTPS已经成为当前网站安全的必要措施之一。

改造前(访问网址提示不安全):

在这里插入图片描述
在这里插入图片描述

漏洞说明:明文传输(中危)

此系统后台存在明文传输,且未使用加密传输协议,用户名密码采取明文传输并未采取加密,容易被嗅探软件截取从而造成密码泄露。

漏洞证明

漏洞地址:http://192.168.234.10:8000/zyl-web/

整改建议

建议按照网站的密级要求,需要对密码传输过程中进行加密得使用加密的方式传输,如使用HTTPS。如果不用 HTTPS,可以在网站前端用 Javascript 做密码加密,加密后再进行传输。

1.3 Nginx实现HTTPS改造的步骤

1.3.1 配置Nginx启用SSL模块

什么是SSL模块?

SSL模块是Nginx的一个重要功能模块,用于支持HTTPS协议,实现数据传输的加密和安全性。通过SSL模块,Nginx可以处理SSL证书、私钥、加密算法等相关配置,确保网站数据在传输过程中的安全性。

1、检查Nginx是否支持SSL模块:

在终端输入以下命令检查Nginx是否支持SSL模块:

 nginx -V

在这里插入图片描述

如果输出中包含–with-http_ssl_module,则表示Nginx已经支持SSL模块。

2、如果输出中未包含–with-http_ssl_module,则需要重新编译安装Nginx并指定–with-http_ssl_module配置:

在编译安装Nginx时,需要指定–with-http_ssl_module配置来启用SSL模块。以下是配置Nginx启用SSL模块的步骤:

./configure --prefix=/usr/local/nginx  --with-http_ssl_module
make
make install

这里小编重新编译和安装,之前的nginx配置文件不会覆盖,为了保险还是先备份配置文间先

3、重启nginx

./nginx -s reload   # 加载nginx配置
./nginx -s stop    # 停止
./nginx   #启动

在这里插入图片描述

通过以上步骤,成功编译安装的Nginx将支持SSL模块,可以配置HTTPS协议来保障网站数据传输的安全性。

1.3.2 生成自签名SSL证书

如果你没有购买SSL证书,可以使用openssl工具生成自签名的SSL证书。以下是生成自签名SSL证书的步骤:

1、 创建cert 的证书文件夹:

在Nginx的安装目录下创建一个名为 cert 的证书文件夹,存放SSL证书和私钥文件,以便后续配置Nginx来使用这些证书。

cd /usr/local/nginx/  


mkdir cert


cd cert

2、 生成私钥文件:

openssl genrsa -des3 -out https.key 2048

在这里插入图片描述
执行命令会提示您输入密码短语(pass phrase)来保护私钥文件。这个密码短语将用于加密私钥文件,确保私钥的安全性。请注意,您需要记住这个密码短语,因为在使用私钥文件时会需要输入这个密码短语来解密私钥文件。

这条命令的含义是使用 OpenSSL 工具生成一个带有 DES3 加密的 2048 位 RSA 私钥文件。下面是各个参数的解释:

openssl: 表示要使用 OpenSSL 工具执行操作。
genrsa: 表示生成 RSA 私钥。
-des3: 表示使用 DES3 对私钥进行加密。DES3 是一种对称加密算法,提供更高级别的安全性。
-out https.key: 表示生成的私钥文件名为 https.key,私钥文件通常以 .key 为后缀。
2048: 表示生成的 RSA 私钥的长度为 2048 位。RSA 私钥的长度通常为 1024 位或 2048 位,长度越长安全性越高。

执行这条命令将生成一个带有 DES3 加密的 2048 位 RSA 私钥文件 https.key。生成的私钥文件将被加密以提高安全性,需要在使用时输入密码进行解密。

3、生成一个新的证书签名请求(CSR)

openssl req -new -key https.key -out https.csr

在这里插入图片描述

这条命令的含义是使用 OpenSSL 工具生成一个新的证书签名请求(CSR),其中包含了一个新的公钥和相关的证书信息。下面是各个参数的解释:

openssl: 表示要使用 OpenSSL 工具执行操作。
req: 表示执行证书请求相关的操作。
-new: 表示生成一个新的证书签名请求。
-key https.key: 表示使用之前生成的私钥文件 https.key 来生成证书签名请求。
-out https.csr: 表示将生成的证书签名请求保存为 https.csr 文件,通常以 .csr 为后缀。

执行这条命令将使用之前生成的私钥文件 https.key 来生成一个新的证书签名请求,并将该请求保存为 https.csr 文件。这个证书签名请求通常会被发送给证书颁发机构(CA)来获取SSL证书。

4、将之前加密的私钥文件解密,生成一个不带加密的私钥文件

cp https.key https.key.org   #创建一个名为https.key.org的副本文件

openssl rsa -in https.key.org -out https.key  

## 将从https.key.org文件中读取RSA私钥,然后将其解密并输出到https.key文件中。

这个过程实际上是将之前加密的私钥文件解密,生成一个不带加密的私钥文件,为了方便后续使用私钥文件。

在这里插入图片描述

5、生成一个自签名的 X.509 证书

openssl x509 -req -days 365 -in https.csr -signkey https.key -out https.crt

在这里插入图片描述

下面是各个参数的解释:

openssl: 表示要使用 OpenSSL 工具执行操作。
x509: 表示执行 X.509 证书相关的操作。
-req: 表示使用证书签名请求(CSR)来生成证书。
-days 365: 表示生成的证书有效期为 365 天。
-in https.csr: 表示使用之前生成的证书签名请求文件 https.csr 来生成证书。
-signkey https.key: 表示使用指定的私钥文件 https.key 来签署生成的证书。
-out https.crt: 表示将生成的证书保存为 https.crt 文件,通常以 .crt 为后缀。

执行这条命令将使用之前生成的证书签名请求文件 https.csr 和私钥文件 https.key 来生成一个自签名的 X.509 证书,并将该证书保存为 https.crt 文件。

这个自签名的证书可以用于配置服务器使用 SSL/TLS 加密通信,但在生产环境中建议使用由受信任的证书颁发机构(CA)签发的证书。

在这里插入图片描述

1.3.3 配置Nginx使用SSL证书

Nginx默认配置包含HTTPS设置,但已被注释掉。

如下,这里我们根据需求重新配置:

在这里插入图片描述

一旦生成了SSL证书和私钥文件,接下来就可以配置Nginx来使用这些文件了。以下是配置Nginx使用SSL证书的步骤:

1、将SSL证书和私钥文件上传到服务器的指定目录,例如 /usr/local/nginx/cert。

2、编辑Nginx配置文件,根据需求配置SSL的server块。在server块中添加SSL配置参数:

## 部分配置内容:

server {
        listen       8000 ssl;
        server_name  192.168.234.10;
        
        #charset koi8-r;
    
        #access_log  logs/host.access.log  main;


       ssl_certificate      /usr/local/nginx/cert/https.crt;
       ssl_certificate_key  /usr/local/nginx/cert/https.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
           root   html;
            index  index.html index.htm;
        }
        location /zyl-web01 {
            alias   /usr/local/nginx/html/zyl-web01;
            index  index.html index.htm;
        }

        location /zyl-web02 {
            alias  /usr/local/nginx/html/zyl-web02/dist;
            index  index.html index.htm;
        }

        location /zyl-web {
            alias  /usr/local/nginx/html/zyl-web/dist;
            index  index.html index.htm;
        }

。。。。。。。。。。。。。

3、重启nginx

./nginx -s reload   # 加载nginx配置
./nginx -s stop    # 停止
./nginx   #启动

4、访问测试

https://192.168.234.10:8000/zyl-web/

在这里插入图片描述

1.4 结语

通过以上步骤,你已经成功配置了Nginx来使用SSL证书,启用了HTTPS协议,保障了网站数据传输的安全性。

无论是生成自签名SSL证书还是使用购买的SSL证书,都能有效提升网站的安全性。祝你的网站安全可靠!

在这里插入图片描述


💖The End💖点点关注,收藏不迷路💖
Seal^_^
关注
  • 32
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
[网络安全学习篇32]:Linux脚本编写汇总及应用
01-09
写到这里,我们千峰网络安全的第二个阶段的学习就到此结束了,学完Linux操作系统之后,感觉学习效果不太好,后期我打算专门出一期Linux的汇总,也算是再强化一下吧,毕竟对于我们学安全的,尤其是后面的渗透测试这一块,对Linux的功底要高。 目录   脚本 一个简单的脚本 实现流程 变量赋值 if判断语句 结构 实例 检测内网主机存活状态 循环语句 for wile for格式 for实例 wile格式 while实例 检测内网主机存活装态(升级) case语句 case格式 函数 探测内网主句存活状态(再升级Nginx自启动脚本 脚本 Linux中的脚本其实就类似我们在windows系统中
linux系统nginxhttp改成https全过程
熊猫啃猪蹄的博客
03-10 2086
1.安装nginx inux版本:CentOS7 64位 【yum 安装最新版nginxhttps://www.cnblogs.com/xxoome/p/7256214.html】 在安装nginx前首先要确认系统中安装了gcc、pcre-devel、zlib-devel、openssl-devel。 Linux下检查是否安装过某软件包:http://www.cnblogs.com/xxoome...
Nginx配置http升级https
lannister_awalys_pay的博客
01-21 2614
Nginx配置https 记录一下实验室测试版服务器的https配置流程,本次为http升级https 原有的http配置: server { listen 8001; server_name localhost; #set $live_status 0 #直播是否开启,初始值为0,关闭 location / { root /home; index index.html index.html; } location
Nginx实现本地httphttps请求
web_15534274656的博客
09-11 3367
项目中有需要做接口回调,测试和dev环境都是https方式请求调用没有问题,但是本地调试不通。因为本地启动后端服务都是http请求,所以使用nginx代理,将http请求转换为https请求,方便调试。深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料。
nginx配置http跳转到https
一个有信仰的技术人
05-23 894
文章目录前言最基本的 nginx的配置首先是监听http的80端口 转发到https的443端口httpsnginx配置注意websocket的坑前端项目的坑 前言 公司之前都是http协议的项目,近期需要将主系统全部升级https协议,所以才有了这篇文章,记录一下整个升级的过程和踩的坑 最基本的 nginx的配置 首先是监听http的80端口 转发到https的443端口 如果是有的特殊路径不想转发则用location的精确匹配 rewrite只是放在 / 下的模糊匹配里面 只有精确匹配匹配不到的时
openresty-1.23.0.1.tar.gz
08-03
2022年4月11日, NGINX发布安全公告,修复了一个NGINX LDAP参考实现中的一个代码执行漏洞漏洞编号:暂无,漏洞威胁等级:高危。 当满足以下一个或多个条件时,会出现此问题: ①命令行参数用于配置 nginx-ldap-...
Comb:SaaS服务架构,实现服务版本管理、动态的二级域名跟客户容器的对应关系、服务不中断灰度升级、用户资源动态扩容
05-02
升级和回退版本都直观安全 监控每个客户系统资源状况 新增或者修改客户二级域名代理时,不会中断对外服务(不重启Nginx) 简单讲每个二级域名请求可被直接代理到内网服务器集群中的指定容器和端口上 架构拓扑图如下...
养殖企业网站管理系统(含小程序)-PHP
06-20
6、[新增]内置升级模式,可选择升级新版本,也可选择只升级安全补丁;7、[新增]整点秒杀、优惠券(仅限于可视化商城小程序插件内使用);8、[新增]商品评价功能,请参考comment标签手册(仅限于专业版商业授权);9、...
PHP秒杀系统 高并发高性能的极致挑战 从万次到亿万次的性能优化,从单机到分布式的架构升级
05-03
从需求分析、数据结构创建到基础功能开发、程序优化实现完整开发思路3.不仅仅是CDN/Redis数据库索引等常用优化方法更有程序逻辑细节调整,产品策略技巧全新的优化思维4.从单机到web集群,从多服务器到多机房数据中心...
Http常见问题
qq_51240148的博客
05-14 255
.
python实现nacos服务注册和HTTP探活
alim2012的博客
05-17 208
如果使用nacos-sdk-python,需要按照下面的链接修改源码的bug。
Python爬虫——如何使用urllib的HTTP基本库
C1356498720的博客
05-14 778
robots.txt。
httphttps的区别
Mr.xing的博客
05-13 260
其实也不一定就安全,原因是用户不会再访问时候加上http:// 或 https://, 浏览器就默认会加上http://,然后通过转发的方式转成https:// 这个过程http就有可能会被劫持了。而HTTPS则通过SSL/TLS协议进行加密传输,这种加密方式可以保护数据在传输过程中的安全,防止数据被窃取或篡改。这可能导致HTTPS在某些情况下比HTTP稍慢一些,但考虑到其提供的安全性,这种资源消耗是可以接受的。2. 连接方式:HTTP的连接是明文的,而HTTPS则通过SSL/TLS协议建立加密连接。
HTTP-QUIC协议
pyxllq的博客
05-17 365
参考。
HTTP 发展史
山重水复疑无路,柳暗花明又一村。
05-14 795
超文本传输协议(英语:HyperTextTransferProtocol,缩写:HTTP是万维网(World Wide Web)的基础协议。自蒂姆·伯纳斯-李(Tim BernersLee)博士和他的团队在 1989-1991 年间创造出它以来,HTTP 已经发生了太多的变化,在保持协议简单性的同时,不断扩展其灵活性。如今,HTTP 已经从一个只在实验室之间交换文档的早期协议进化到了可以传输图片,高分辨率视频和 3D 效果的现代复杂互联网协议。HTTP的诞生1989 年 3 月。
HTTPHTTPS 的区别 + SSL协议
最新发布
Iamme
05-17 943
服务端用私钥解密后,得到了客户端传过来的随机值(对称秘钥),然后把内容通过该值进行对称加密,所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。这种方法看起来不错,但是也存在问题,如果在发送的时候被拦截下来,密钥就会泄露给中间人,此时中间人就可以通过密钥来对之后的数据进行解密,此时也就失去了加密的意义这时,就引入了非对称加密。SSL确保安全性的同时,在客户端和服务端都要进行。
Http文件下载的相关header
常备不懈
05-16 295
用于指示浏览器应该如何处理响应体。在文件下载中,通常设置为,其中是要下载的文件名。: 指示响应体的MIME类型,例如image/jpeg或。: 响应体的长度(以字节为单位)。: 控制缓存的行为,通常可以设置为no-cache禁止缓存。Expires: 指定响应的过期时间,与一起使用来控制缓存。Pragma: 旧版本的HTTP使用的头部,现在基本不再使用,可以设置为no-cache。这些头部可以通过服务器在响应中设置,以告知浏览器如何处理文件下载。下面详细介绍这些header。
nginx添加https模块
06-07
要在 Nginx 中添加 HTTPS 模块,需要执行以下步骤: 1. 获得 SSL 证书 在您的服务器上安装 SSL 证书。可以购买一个商业 SSL 证书,或者使用许多免费的 SSL 证书提供商,例如 Let's Encrypt。 2. 安装 OpenSSL 如果您的系统上没有 OpenSSL,请安装它。您可以使用以下命令在 Ubuntu 上安装 OpenSSL: ``` sudo apt-get install openssl ``` 3. 配置 NginxNginx 配置文件中添加以下内容: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/ssl_certificate; ssl_certificate_key /path/to/ssl_certificate_key; # 其他配置 } ``` 在这个示例中,Nginx 将监听 443 端口,并使用 SSL 证书进行加密。请将 `/path/to/ssl_certificate` 和 `/path/to/ssl_certificate_key` 替换为您的 SSL 证书和私钥的实际路径。 4. 重启 Nginx 在更改 Nginx 配置文件后,需要重新启动 Nginx 以使更改生效。您可以使用以下命令重启 Nginx: ``` sudo service nginx restart ``` 现在,您的 Nginx 服务器已配置为使用 HTTPS。如果您的 SSL 证书配置正确,则应该可以通过 HTTPS 访问您的网站

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Seal^_^

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值