Nginx配置HTTPS(八)

于 2022-08-26 12:24:50 发布
阅读量2.3k 收藏 1
点赞数 1
分类专栏: nginx系列 文章标签: nginx https 服务器 运维 linux
原文链接:https://blog.csdn.net/m0_46090675/article/details/119854418
版权

背景

        上一章说了Nginx的Rewrite的详细功能,这章我们将说说Nginx如何配置Https。

 HTTPS介绍

1.    为何需要https?

        因为HTTP采用的是明文传输数据,那么在传输(账号密码、交易信息、等敏感数据)时不安全。容易遭到篡改,如果使用HTTPS协议,数据在传输过程中是加密的,能够有效避免网站传输时信息泄露。 

2.    什么是HTTPS?

        HTTPS安全的超文本传输协议,我们现在大部分站点都是通过HTTPS来实现站点数据安全。
        早期网景公司设计了SSL(Secure Socket Layer)安全套接层协议,主要对HTTP协议传输的数据进行加密。那如何将站点变成安全的HTTPS站点呢?我们需要了解SSL(Secure Socket Layer)协议。
而现在很多时候我们使用的是TLS(Transport Layer Security)传输层安全协议来实现的加密与解密。

 3.   TLS如何加密?

TLS/SSL工作在OSI七层模型中,应用层与传输层之间。
1) 提供数据安全:保证数据不会被泄露。
2) 提供数据的完整性:保证数据在传输过程中不会被篡改。
3) 对应用层交给传输层的数据进行加密与解密。

4.   https加密方式

4.1     加密模型-对称加密

1) 对称加密:两个想通讯的人持有相同的秘钥,进行加密与解密。如下:

2) bob将原始文档通过秘钥加密生成一个密文文档。

3) alice拿到这个密文文档以后,它可以用这把秘钥还原为原始的明文文档。

对称加密究竟是如何实现的,我们可以以RC4这样一个对称加密序列算法来看一下。

1) 加密:秘钥序列+明文=密文

2)  解密:秘钥序列+密文=明文

 4.2    加密模型-非对称加密
非对称加密:它根据一个数学原理,创建一对秘钥(公钥和私钥)公钥加密,私钥解密;

1) 私钥:私钥自己使用,不对外开放。
2) 公钥:公钥给大家使用,对外开放。
比如:alice有一对公钥和私钥,他可以将公钥发布给任何人。假设Bob是其中一个,当Bob要传递一份加密文档给alice,那么Bob就可以用alice的公钥进行加密,alice收到密文文档后通过自己的私钥进行解密,获取原始文档。


 

 注意:alice必须知道Bob就是Bob,也就是它收到的信息必须是Bob发来的,那么这个信任问题,在多方通讯的过程中,必须有一个公信机构来验证双方的身份,那么这个机构就是CA机构。

 4.3     身份认证机构--CA

 通讯双方是如何验证双方的身份?CA机构是可信任组织机构,主要用来颁发证书及验证证书。那CA机构又是如何申请和颁发证书的呢?

         我们首先需要申请证书,需要进行登记,登记我是谁,我是什么组织,我想做什么,到了登记机构在通过CSR发给CA,CA中心通过后,CA中心会生成一对公钥和私钥,那么公钥会在CA证书链中保存,公钥和私钥证书订阅人拿到后,会将其部署在WEB服务器上

1) 当浏览器访问我们的https站点时,它会去请求我们的证书
2) Nginx会将我们的公钥证书回传给浏览器。
3) 浏览器会去验证我们的证书是否是合法的、是否是有效的。
4) CA机构会将过期的证书放置在CRL服务器,那么CRL服务的验证效率是非常差的,所以CA又推出了OCSP响应程序,OCSP响应程序可以查询指定的一个证书是否过期,所以浏览器可以直接查询OCSP响应程序,但OCSP响应程序性能还不是很高。
5)Nginx会有一个OCSP的开关,当我们开启后,Nginx会主动上OCSP上查询,这样大量的客户端直接从Nginx获取,证书是否有效。
 

5.    https实现原理 

 HTTPS加密过程,HTTPS采用混合加密算法,即对称加密、和非对称加密。
通信前准备工作:申请域名对应的证书,并将其部署在Nginx服务器中。

1)  第一步客户端向服务端发送 Client Hello 消息,这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件和客户端支持TLS协议版本等信息。
2)  服务端会向客户端发送 Server Hello 消息。返回自己的公钥证书、挑选一个合适的加密套件、另外还会生成一份随机数 Random2推送给客户端。至此客户端和服务端都拥有了两个随机数(Random1+ Random2)
3)  客户端收到服务端传来的公钥证书后,先从 CA 验证该证书的合法性(CA公钥去解密公钥证书),验证通过后取出证书中的服务端公钥,再生成一个随机数 Random3,再用服务端公钥非对称加密Random3。
4)  服务端用自己的私钥解出客户端生成的 Random3。至此,客户端和服务端都拥有 Random1 + Random2 + Random3,两边根据同样的算法生成一份秘钥,握手结束后的应用层数据都是使用这个秘钥进行对称加密。
 

6.    https扩展

6.1    https购买建议

1) 保护1个域名www.bertwu.com
2) 保护5个域名 (www images cdn test m).bertwu.com
3) 通配符域名*.bertwu.com

6.2    https颜色标识
1) Https不支持续费,证书到期需重新申请新并进行替换。
2) Https不支持三级域名解析,如 test.m.bertwu.net 、*.m.bertwu.net
3) Https显示绿色,说明整个网站的url都是https的,并且都是安全的。
4) Https显示黄色,说明网站代码中有部分URL地址是http不安全协议的。(https (http url) )
5) Https显示红色,要么证书是假的,要么证书已经过期。

https配置示例 

1.    openssl创建SSL证书

 1.1    创建服务器证书秘钥文件

[root@Nginx ~]# openssl genrsa -des3 -out server.key 1024
...
Enter pass phrase for server.key:								# 输入密码
Verifying - Enter pass phrase for server.key:					# 确认密码

 1.2    创建服务器证书申请文件

[root@Nginx ~]# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:												# 输入前面创建的密码
...
Country Name (2 letter code) [XX]:CN											# 国家代号. 中国输入 CN
State or Province Name (full name) []:HuBei									# 省的全名. 拼音
Locality Name (eg, city) [Default City]:WuHang									# 市的全名.拼音
Organization Name (eg, company) [Default Company Ltd]:xhz_edu						# 公司英文名
Organizational Unit Name (eg, section) []:										# 可以不输入
Common Name (eg, your name or your server's hostname) []:www.xhz_edu.com			# 域名
Email Address []:xiaohaizhou@163.com											# 电子邮箱. 可随意填
...
A challenge password []:														# 可以不输入
An optional company name []:													# 可以不输入

1.3     去除秘钥口令

[root@Nginx ~]# openssl rsa -in server.key -out server.key
Enter pass phrase for server.key.org:											# 输入密码

1.4    生成证书文件

[root@Nginx ~]# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=CN/ST=HuBei/L=WuHang/O=xhz_edu/CN=www.xhz_edu.com/emailAddress=xiaohaizhou@163.com
Getting Private key

 2.    配置https站点

server {
    listen 443;
    ssl on;
    server_name xhz_edu.com www.xhz_edu.com;
    root /https;
    ssl_certificate  ssl_key/server.crt;
    ssl_certificate_key ssl_key/server.key;


    location / {
        index index.html;
    }
}

##   配置一个重定向,当通过http访问的时候,重定向到https上
server {
    listen 80;
    server_name xhz_edu.com www.xhz_edu.com;
    return 302  https://$server_name$request_uri;
}

 3.    验证

 htpps负载均衡模型 

         由于Nginx服务器跟后端Web集群处于内网的局域网中,client端是直接通过互联网访问的Nginx服务器,因此我们在做http是负载的时候,只需要将SSL证书存放在Nginx服务器即可。

upstream webs{
    server 192.168.65.130:8080 weight=30;
    server 192.168.65.131:8081 weight=20;
    server 192.168.65.132:8080 weight=10;
}

server {
    listen 443;
    ssl on;
    server_name xhz_edu.com www.xhz_edu.com;
    root /https;
    ssl_certificate  ssl_key/server.crt;
    ssl_certificate_key ssl_key/server.key;


    location / {
        proxy_pass http://webs;
    }
}
server {
    listen 80;
    server_name xhz_edu.com www.xhz_edu.com;
    return 302  https://$server_name$request_uri;
}

小肖同学..
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HTTP系列()—— HTTPS
一个写代码的废物
10-10 2574
从近来几年来看,绝大部分的知名网站都已经使用 HTTPS 协议,而不再是 HTTP。原因就在于 HTTP 是不安全的协议。不安全具体表现在三个方面: 使用明文通信,不加密,内容可能被窃听 不验证通信方的身份,因此有可能遭遇恶意的伪装 无法证明报文的完整性,所以报文可能被篡改 正是由于这些不安全的因素,所以,各大网站都从原来的 HTTP 换为 HTTPS 什么是HTTPS HTTPS 可以...
08-HTTPS与加密
haazzz的博客
06-20 318
参考博客: 小林coding: 硬核!30 张图解 HTTP 常见的面试题 一. HTTP 与 HTTPS 有哪些区别? https协议需要到CA申请证书,一般免费证书较少,因而需要一定费用。 http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。 http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。(但是不一定必须是这个,这个只是默认,可以自己设置) http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可
使用openssl生成免费证书
牧小七的博客
11-09 1655
1 使用openssl工具生成一个RSA私钥 #使用命令: openssl genrsa -des3 -out server.key 2048 #输入密码: Enter PEM pass phrase:123456 #再次输入密码: Verifying - Enter PEM pass phrase:123456 如上:des3 是算法,2048位强度(为了保密性)。 server.key 是密钥文件名 -out的含义是:指生成文件的路径和名称。 我们查看刚刚生成的私钥。 #使用命令: openssl r
apache nginx https ssl ca 证书生成及配置 startcom.org篇
经验之谈,不做搬运工
04-11 264
apache nginx https ssl ca 证书生成及配置 startcom.org篇 一、生成私钥: sudo openssl genrsa -des3 2048 > server.key 提示: Enter pass phrase for server.key: Verifying - Enter pass phrase for server.key: ...
Nginx自签名证书的配置
最新发布
xtkinglong的专栏
08-19 5799
配置了需要输入密码的key后,nginx一直启动不成功,使用的是centos7(PS:不知道和版本什么的有关系没)有如下两种方法进行签名,通过私钥进行签名,输入密码;签名:使用私钥key与公钥csr进行证书server.crt生成的过程称为签名。因为浏览器内置了CA颁发的证书,我们是使用自签名进行证书的生成。需要输入密码,刚生成私钥key设置的,111111;如果采用4.2,则不用。然后将key配置改为3、生成解密的私钥keynginx成功启动。吾日更日省吾身,软件的世界话不多说,撸起袖子敲代码,即可!
nginx https 配置
11-23
"nginx https 配置"这个主题涉及到的是如何在Nginx上设置HTTPS服务,以实现网站的安全访问。HTTPS是HTTP协议的安全版本,通过使用SSL/TLS协议来加密数据传输,确保用户与服务器之间的通信不被中间人攻击。 首先,...
nginx配置https
01-03
### Nginx 配置 HTTPS 详解 #### 一、环境搭建 为了更好地理解如何配置 Nginx 来支持 HTTPS,我们首先需要了解本文档所使用的环境: - 操作系统:Ubuntu 14.04 64位 - Nginx 版本:1.0.15 #### 二、编译安装 ...
nginx图片服务器配置https配置
07-24
nginx图片服务器配置https配置
Nginx配置https原理及实现过程详解
09-29
Nginx配置HTTPS原理及实现过程详解主要涵盖了如何在Nginx服务器上设置安全的HTTPS连接,使用免费的Let's Encrypt证书。HTTPS是HTTP协议的安全版本,它通过使用SSL/TLS协议来加密通信,保护用户数据的安全性。下面将...
nginx配置 +负载均衡+https协议
05-05
- 对于负载均衡,可以通过在Nginx配置文件中定义多个后端服务器,并使用`proxy_pass`指令来实现。 ```nginx upstream backend { server backend1.example.com; server backend2.example.com; } server { ...
全站HTTPS升级系列(三)nginx配置全站HTTPS
weixin_33804582的博客
01-11 220
前言 上篇,我们介绍了HTTPS的SSL证书,以及如何通过acme.sh生成并自动更新SSL证书。 本篇,我们介绍如何通过nginx配置配置全站https,以及容易踩的坑 环境 linux服务器,操作系统为 centos7.2 nginx 1.10.1 acme.sh v2.8.0 本文以msh.com的域名证书为例 一、给nginx安装ssl模块 想要nginx支持https,必须安装htt...
openssl生成证书
军说网事
10-28 839
一、 x509证书一般会用到三类文,key,csr,crt。 Key 是私用密钥openssl格,通常是rsa算法。 Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。 crt是CA认证后的证书文,(windows下面的,其实是crt),签署人用自己的key给你签署的凭证。   1.key的生成  openssl genrsa
Windows安装生成自签证书(本地测试使用)
ling1998的博客
12-19 4436
1. 下载 下载地址:Win32/Win64 OpenSSL Installer for Windows - Shining Light Productions 2. 安装 安装时会弹出风险提示: 之后正常安装即可。 3. 生成证书 (1)打开命令窗囗,进入安装证书路径 (2)执行openssl (3)生成私钥文件 执行 genrsa -des3 -out server.key 2048 ,生成私钥文件server.key (4)创建证书请求 ...
nodejs 浏览器弹窗下载图片 data:image/jpeg;base64示例
远古大猛犸
09-03 1万+
nodejs 浏览器下载图片 data:image/jpeg;base64示例
https访问http接口处理
ChengChengxn的博客
05-16 7118
下载openssl工具并安装 https://www.openssl.org/下载 生成证书 1、生成私钥 # genra 生成RSA私钥 # -des3 des3算法 # -out server.key 生成的私钥文件名 # 2048 私钥长度 openssl genrsa -des3 -out server.pass.key 2048 2、去除私钥中的密码 openssl rsa -in server.pass.key -out server.key 3、生成CSR(证书签名请求) openssl
Nginx配置一个自签名的SSL证书
weixin_30887919的博客
04-08 50
转自廖雪峰的官方网站http://www.liaoxuefeng.com/ 要保证Web浏览器到服务器的安全连接,HTTPS几乎是唯一选择。HTTPS其实就是HTTP over SSL,也就是让HTTP连接建立在SSL安全连接之上。 SSL使用证书来创建安全连接。有两种验证模式: 仅客户端验证服务器的证书,客户端自己不提供证书; 客户端和服务器都互相验证对方的证书。 ...
mac配置完ssh依然提示"Enter passphrase for key"解决方法
热门推荐
矩阵实验室
07-17 1万+
这个问题折磨很久,明明已经配置过ssh了,可是每次还要提示输入密码,从网上查查,最后一条命令解决问题: 问题提示:Enter passphrase for key 'xxxx'输入一下命令:ssh-add -K xxx之后就再也没遇到这种问题。
Centos 6.9 配置 Nginxhttps 代理 http》
极致,细节
03-21 695
安装依赖包 yum install pcre pcre-devel openssl-devel gcc gcc-c++ -y cd /etc/pki/tls/certs 配置密钥 make server.key Enter pass phrase:设置密码 Verifying - Enter pass phrase:确认密码 openssl rsa -in server.key -out s...
使用 Nginx 实现 HTTPS 网站设置
愿许浪尽天涯的博客
08-22 7535
首先在这里简单说一下为什么现在都在使用 HTTPS 协议: 其实使用 HTTPS 协议最大的原因就是因为 HTTP 协议不安全,因为 HTTP 数据传输时是:明文传输数据 也就是说当客户端在输入用户名和密码时,都会显示出来。而 HTTPS 协议的话则是 密文传输数据 就是在传输数据时会进行加密。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值