https 改造

目前开发的网站是普通的http网站,为了提高网站安全性,大概主要有三种方法

1.应用自行对传递的数据进行加密处理

优点:灵活性非常高

缺点:上传下载的流数据没法在浏览器中进行干扰(除非使用flash等插件,这里主要指用form提交下载数据),所以无法保证这种数据的安全。

   提高了系统复杂度。

2.使用VPN保证数据安全

优点:本人认为这是最安全的方式,速度快

缺点:要求所有访问系统的人必须进行VPN连接,对用户量大的系统非常不方便

3.使用 https 代理

优点: 无需改造现有Web系统,只需要在Web应用和用户之间加一层https代理,实现简单,安全性很高

缺点: 正规机构颁发的https证书是要钱的,使用自签发证书浏览器会有安全提示,而且确实有可能被第三方伪造而用户无法识别,

但个人认为如果直接使用ip访问而不用域名访问应该没什么大问题


本文主要记录对第三种方案的实现

第一步,使用openssl 制作秘钥和证书

openssl下载地址 : http://slproweb.com/products/Win32OpenSSL.html

通过命令行运行如下命令:

创建文件里面包含公钥和私钥
openssl genrsa -des3 -out server.key 1024

创建签名请求的证书:
openssl req -new -key server.key -out server.csr

提取私钥:
openssl rsa -in server.key.org -out server_private.key

生成证书:
openssl x509 -req -days 3650 -in server.csr -signkey server_private.key -out server.crt


第二步,https代理服务器使用nginx就可以(nginx 真是个负载均衡,反向代理,集群的无上法宝啊~~~,在这里十分感谢nginx开发们),nginx 配置如下

upstream real_server {                                                         
        server 192.168.1.4:80;                                    
        keepalive 2000;

}

server {
        listen          443 ssl;
        server_name     localhost;
 
        ssl on;
        ssl_certificate         C:\OpenSSL-Win64\bin\server\server.crt;
        ssl_certificate_key     C:\OpenSSL-Win64\bin\server\server_private.key;
 
        ssl_verify_client       off;
        ssl_session_timeout     5m;
        ssl_protocols   SSLv2 SSLv3 TLSv1;
        ssl_ciphers     HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers   on;
 
        location / {
            proxy_pass http://real_server/;
proxy_set_header   Host             $host;  
proxy_set_header   X-Real-IP        $remote_addr;  
proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;  
proxy_connect_timeout 60;  
proxy_read_timeout 600;  
proxy_redirect http:// $scheme://;
proxy_set_header   X-Forwarded-Proto $scheme;  
        }
}


最后启动 nginx 就可以了~~~



评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值