局域网安全的https协议解决方案

最新推荐文章于 2024-06-13 15:44:19 发布
最新推荐文章于 2024-06-13 15:44:19 发布
阅读量2.5k 收藏 3
点赞数
文章标签: ssl https nginx Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010721688/article/details/128809412
版权

前言

我们在有域名、有公网ip的情况下通常直接在域名管理中可以申请ssl证书,利用nginx可以做到安全的https协议,有时候我们需要将局域网内的服务地址也要做成https协议,如果直接利用nginx转发443端口,访问时会告警,提示不安全的地址,需要手动点一下才能进入网站,非常不方便

解决方案

利用openssl生成证书+nginx提供https协议,访问设备信任安装的证书达到目的

openssl生成证书,注意有几个中文提示的地方是需要手动修改后再执行命令

  • 检查是否安装了openssl,通常linux内核的系统都安装了这个

openssl version

  • 生成根证书私钥和根证书 -keyout CA-private.key -out CA-certificate.crt

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -subj “/C=CN/ST=省份拼音/L=城市拼音/O=机构名称拼音” -keyout CA-private.key -out CA-certificate.crt -reqexts v3_req -extensions v3_ca

  • 生成自签名证书私钥 -out private.key

openssl genrsa -out private.key 2048

  • 根据自签名证书私钥生成自签名证书申请文件 -out private.csr

openssl req -new -key private.key -subj “/C=CN/ST=省份拼音/L=城市拼音/O=机构名称拼音/CN=你的IP地址” -sha256 -out private.csr

  • 定义自签名证书扩展文件(解决chrome安全告警)。在默认情况下生成的证书一旦选择信任,在 Edge, Firefox 等浏览器都显示为安全,但是Chrome仍然会标记为不安全并警告拦截, 这是因为 Chrome 需要证书支持扩展 Subject Alternative Name, 因此生成时需要特别指定 SAN 扩展并添加相关参数,将下述内容放到命名为private.ext文件中,该文件与上方生成的文件放到同一个文件夹下

  [req]
  default_bits        = 1024
  distinguished_name  = req_distinguished_name
  req_extensions      = san
  extensions          = san
  [req_distinguished_name]
  countryName         = CN
  stateOrProvinceName = Definesys
  localityName        = Definesys
  organizationName    = Definesys
  [SAN]
  authorityKeyIdentifier=keyid,issuer
  basicConstraints=CA:FALSE
  keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
  subjectAltName = IP:你的IP地址

  • 根据根证书私钥及根证书-CA CA-certificate.crt -CAkey CA-private.key、自签名证书申请文件 -in private.csr、自签名证书扩展文件 -extfile private.ext,生成自签名证书 -out private.crt

openssl x509 -req -days 3650 -in private.csr -CA CA-certificate.crt -CAkey CA-private.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN

  • 使用nginx代理成https协议,配置如下

  #user http;
  worker_processes  1;
    
  #error_log  logs/error.log;
  #error_log  logs/error.log  notice;
  #error_log  logs/error.log  info;
    
  #pid        logs/nginx.pid;
    
    
  events {
      worker_connections  1024;
  }
    
    
  http {
      include       mime.types;
      default_type  application/octet-stream;
    
      #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
      #                  '$status $body_bytes_sent "$http_referer" '
      #                  '"$http_user_agent" "$http_x_forwarded_for"';
    
      #access_log  logs/access.log  main;
    
      sendfile        on;
      #tcp_nopush     on;
    
      #keepalive_timeout  0;
      keepalive_timeout  65;
      types_hash_max_size 1024;
      types_hash_bucket_size 64;
    
      #gzip  on;
    
      # 本地api服务提供https
      server {
          listen       443 ssl;
          # server_name  localhost;
    
          # 该配置默认情况为off,允许自定义请求头部的key,带下划线,默认会忽略掉
          underscores_in_headers on;
          ssl on;
          ssl_certificate /home/family/app/ssl/intranet/private.crt;
          ssl_certificate_key /home/family/app/ssl/intranet/private.key;
          ssl_session_timeout 5m;
          ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
          ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
          ssl_prefer_server_ciphers on;
    
          location / {
              #请求大小
              client_max_body_size 32M;
              # 重写请求头部host字段
              proxy_set_header Host $host;
              # 重写来源IP
        		proxy_set_header X-Real_IP $remote_addr;
              # 重写http请求来源
        		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
              proxy_http_version 1.1;
              proxy_set_header Upgrade $http_upgrade;
              proxy_set_header Connection "upgrade";
              proxy_pass http://127.0.0.1:8800;
          }
      }
  }

  • 最终需要将生成的CA-certificate.crt证书文件执行安装,然后完全信任它

mac 安装证书后要在钥匙串app中找到这个证书,然后双击设置完全信任
荣耀手机,进入设置,安全,更多安全设置,加密和凭据,从存储设备安装,安装ca证书,其它的安卓应该也是类似
其它的设备自行查资料,逻辑都是一样的,要安装这个证书,信任这个证书

  • 通过浏览器使用https协议方式访问nginx代理的ip地址,可以看到服务能正常访问,也不会告警成不安全

jflove.cn
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
局域网内多台机器使用自签发证书架设https网站二:实施
左直拳的马桶_日用桶
08-05 1万+
前文再续,书接上一回。上一篇文章说了局域网内多台机器使用自签发证书架设https网站的原理,现在接着介绍实现方法和步骤: 1、以一台机器作为根证书服务器(其实就是CA了),负责生成根证书 2、所有网站的证书,都由这张根证书来签发 3、访问所有网站的客户端,都导入这张根证书到自己的“受信任的根证书颁发机构”里 一、生成根证书 生成根证书应该有许多种: 1、如果操作系统是server,...
局域网https自签名教程
Stestack的博客
02-28 2963
们的客户是在内网环境里面,所以就只能用自签名证书来搞,我一想这还不容易,就迅速的百度了一下随便找了个文章开始照猫画虎,很快就弄完了,但是弄完后发现还是有问题,而且https 还是报不安全,1、基于nginx版本1、证书生成。
IP地址实现HTTPS访问需要怎么操作?
最新发布
JoySSLBlue的博客
06-13 1070
请注意,上述步骤可能因所选的CA和你的具体环境而有所不同。始终参考CA提供的官方文档和指南进行操作,以确保安全性和正确性。要实现仅有IP地址HTTPS访问,需要遵循一系列步骤来确保安全连接。
内网ip实现https协议
Chao_nengli的博客
02-27 1649
用户是内网环境并且对产品有一定的要求,最终想要内网实现https协议。前后端都需要操作,并且操作之前需要将用到的内容准备好,这里分为前后端角度进行准备。
局域网搭建https局域网
weixin_33859231的博客
07-06 571
局域网搭建https局域网 1.使用tomcat作为服务器搭建局域网访问https 需要使用java jdk\bin下的keytool.exe来创建证书 使用命令:keytool -genkenpair -alias "tomcat" -keyalg "RSA" -keystore "c:tomcat.keystore" 配置各种参数:名字与姓氏、组织单位姓氏、组织名称、以及其他 2.最终...
在内部局域网内搭建HTTPs
weixin_34194359的博客
07-06 1913
在内部局域网内搭建HTTPs 配置环境 Windows版本:Windows Server 2008 R2 Standard Service Pack 1 系统类型:       64 位操作系统 内存:4GB   了解HTTPS 为什么需要 HTTPS  ? 多数网站的URL都是以HTTP开头,HTTP协议我们比较熟悉,信息通过明文传输,与服务器间传输数据更快速准确,但是HTTP明显是...
局域网内搭建安全HTTPS协议环境,分别给IIS和tomcat使用,并解决SSLHandshakeException异常
MeiWenjilu的博客
12-11 3622
局域网中总有项目需要从http切换到安全https协议。并且要求其他电脑访问服务器的时候也是安全https协议,两个办法,要不花钱买证书,要不学习下这篇文章。提示:以下是本篇文章正文内容,下面案例可供参考。
网络协议解决方案 第一卷
03-06
《网络协议解决方案 第一卷》是一本专注于网络通信协议及其应用的综合性教程。该资源包含五个文件:is12xy3.wdl、is12xy1.wdl、is12xy2.wdl、is12xyml.wdl、is12xy0.wdl,这些文件可能代表了该主题的不同章节或部分...
局域网考试系统
04-16
局域网考试系统是一种在局域网...这个基于C#的局域网考试系统,通过其全面的功能和稳定的表现,为教育机构提供了便捷、安全的在线考试解决方案,有助于提高教学效率,减轻教师的工作负担,同时也提升了考生的考试体验。
局域网中ARP攻击和浏览器挟持的解决方法
10-01
然而,这些方法仅仅是临时的解决方案。更根本的解决办法是加强网络安全监控,找出网络中流量异常的设备,通常这些设备可能是攻击源。一旦识别出被感染的机器,应当立即断开其与网络的连接,进行彻底的病毒清理,然后...
android 局域网通信
02-26
本文将深入探讨如何在Android设备之间通过局域网进行通信,包括技术选型、协议选择、实现步骤以及可能遇到的问题与解决方案。 一、技术选型 在Android局域网通信中,主要涉及以下技术: 1. **Socket编程**:TCP/...
网络安全面试题及答案word资料
10-14
TCP粘包/拆包是指多个TCP段合并或分开接收,解决方案包括设置合适的缓存大小和使用边界标志。 8. **OSI七层模型**:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,每个层次都有特定的功能,如物理...
macos 此服务器的证书无效_本地SSL证书生成及https调试解决方案
weixin_39777543的博客
11-25 696
引言在Web开发中我们可能会遇到调用后端服务或者Api接口,在某些场景下我们可能需要走https,一般情况下我们会直接放到线上进行这样的测试,对我们的开发造成了很大程度上时间的浪费,因此用上这款神器即可生成本地SSL证书,供我们开发使用,它就是mkcert。介绍mkcert是一个简单的零配置SSL生成工具,可以使用你喜欢的任何名称制作本地可信赖的开发证书。生成的证书可供我们在本地需要https 的...
内网 https java_局域网搭建https局域网
weixin_29038537的博客
02-26 289
1.使用tomcat作为服务器搭建局域网访问https需要使用java jdk\bin下的keytool.exe来创建证书使用命令:keytool -genkenpair -alias "tomcat" -keyalg "RSA" -keystore "c:tomcat.keystore"配置各种参数:名字与姓氏、组织单位姓氏、组织名称、以及其他2.最终会生成一个c:tomcat.keystore...
局域网搭建SSL,使用HTTPS服务教程
weixin_45565886的博客
02-08 5111
局域网搭建SSL,使用HTTPS服务教程
IP-guard内网安全解决方案
IP-Guard专栏
02-17 5541
符合保密规定,降低泄密风险 IP-guard通过全方位的保护措施,保证政府机密文件的安全,防止信息泄露造成有重大影响的敏感事件 严防入侵风险,保证政府内网安全严格满足国家关于政府内网安全要求,防止非法入侵,保证政府内网安全,稳定发挥电子政务的服务作用 规范系统应用,提升工作效率 培养工作人员规范的系统使用行为,提升系统应用效率,降低非法应用造成的系统威胁,最大限度发挥电子政务对业务的推动作...
TOMCAT7+openssl搭建局域网自签名https服务器
kris1122的博客
02-16 2069
生成客户端证书 openssl genrsa -out ca\myCA.key 2048 openssl req -x509 -new -key ca\myCA.key -out ca\myCA.cer -days 700 -subj /CN="szlanyou" 生成 服务端证书 openssl genrsa -out ca\server.key 2048 openssl req -n
内网穿透-使用https访问局域网里的web
u010905359的博客
10-16 2190
演示需要,今天准备一台windows 10 主机作为局域网内进行中转(参考客户端安装-windows 客户端安装)中转服务器一台,windows 10 系统 已安装神卓互联客户端,也可以直接将客户端安装在财务软件主机上。使用 HTTPS 访问 取消了不安全提示了,进入 安全加密通道。使用HTTPS 通道将取消 公网端口,与正常访问其他网站一样。所有新创建的通道访问之前,必须确保内网的项目能够正常访问。重新启动客户端可以看到刚刚创建的HTTPS通道。系统自动创建了一条 公网访问地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值