通过Nginx为网站配置https访问-填坑记录

最新推荐文章于 2024-04-25 16:44:33 发布
最新推荐文章于 2024-04-25 16:44:33 发布
阅读量905 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t131452n/article/details/81320670
版权

引言

一、准备阶段:

Nginx安装(linux下离线安装的方式)
注意:Nginx要支持https模块,ssl模块

https和http简介

HTTPS证书验证流程及SSL证书生成步骤

https验证流程

HTTPS证书验证流程(极简化版)
1.客户端向服务端请求证书(server.crt)
2.服务端下发证书(server.crt)
3.客户端用预制的受信任机构的证书(ca.crt)来验证服务端下发的证书(server.crt)是否合法,并且还会校验下发下来的证书里的域名与要请求的域名是否一致
【以下步骤开启双向验证后才会触发】
4. 客户端选择一个由受信任的机构(ca.crt)颁发的证书(client.crt)发送给服务端
5.服务端用预制的受信任机构的证书(ca.crt)来验证客户端传来的证书(client.crt)是否合法

使用自签名的SSL证书生成步骤

以下是证书生成步骤及说明:

————————CA证书——————————-

  1. 创建根证书密钥文件(自己做CA)ca.key:
    openssl genrsa -des3 -out ca.key 2048
    去除密码
    openssl rsa -in ca.key -out ca.key

  2. 创建根证书的申请文件ca.csr:
    openssl req -new -key ca.key -out ca.csr

  3. 创建一个自当前日期起为期十年的根证书ca.crt【用来签名其它证书,并配置在客户端信任列表,如果开启双向验证,也需要配置在服务端】:
    openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.crt

————————Server端要下发的证书———————————
4. 创建服务器证书密钥server.key:
openssl genrsa -des3 -out server.key 2048
#去除密码
openssl rsa -in server.key -out server.key

  1. 创建服务器证书的申请文件server.csr:
    openssl req -new -key server.key -out server.csr

  2. 创建自当前日期起有效期为期两年的服务器证书server.crt【配置在服务端,将会在客户端请求时下发给客户端】:
    openssl x509 -req -days 730 -sha1 -extensions v3_req -CA ca.crt -CAkey ca.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.crt

————————Client端要下发的证书【开启双向验证后才需要】———————————
7. 创建客户端证书密钥文件client.key:
openssl genrsa -des3 -out client.key 2048
去除密码
openssl rsa -in client.key -out client.key

  1. 创建客户端证书的申请文件client.csr:
    openssl req -new -key client.key -out client.csr

  2. 创建一个自当前日期起有效期为两年的客户端证书client.crt【配置在客户端】:
    openssl x509 -req -days 730 -sha1 -extensions v3_req -CA ca.crt -CAkey ca.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.crt

————————各种格式转换———————————

a. crt+key转pfx【pfx是证书安装包,方便在电脑上直接双击按向导安装证书】
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx

b. pfx转化为pem【curl需要pem格式文件】
openssl pkcs12 -in client.pfx -nodes -out client.pem

c. crt+key转p12【apache的cxf客户端支持jks和p12证书】
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

d. crt转jks【jks支持存放信任证书,而pkcs12不支持,所以tomcat环境下配置ca只能使用jks才能保证ca密钥不泄露】
keytool -import -v -trustcacerts -storepass defaultpwd -keypass defaultpwd -file ca.crt -keystore ca_only.jks

关于创建证书的申请文件(.csr)时的输入内容
Country Name (2 letter code) [AU]:CN【国家代号,中国输入CN】
State or Province Name (full name) [Some-State]:BeiJing【省的全名,拼音】
Locality Name (eg, city) []:BeiJing【市的全名,拼音】
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp.【公司英文名】
Organizational Unit Name (eg, section) []: 【可以不输入】
Common Name (eg, YOUR name) []:【对于server.csr需要输入网站的域名以作校验,其余的csr可随意填写】
Email Address []:admin@mycompany.com【电子邮箱,可随意填】

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:可以不输入
An optional company name []:可以不输入

注意:客户端的访问地址,要和证书配置的域名或者地址一致

二、为Nginx配置自签名证书

重启Nginx服务

三、将自签名证书,导入JDK中

找到Tomcat使用的JDK

重启服务

独孤文彬
关注
Nginx常用配置-反向代理-https重定向-端口转发
guoweifeng0012的博客
06-01 3656
如果不写/,当访问example.com/api/index.php时,会代理到example.com:4433/api/index.php。如前端是https://example.com/index.html,调用的接口是https://example.com:4433。这里不能写作,因为是正则匹配的意思,用了正则就不能再proxy_pass段配置URI了,所谓URI就是4433端口后面的/。如果想让你的非标准https端口,如2083支持HTTP跳转HTTPS访问,请参照如下配置
nginx实现ssl之https改造(包含单机版以及负载均衡配置
12-04
(最近安排的ssl改造工作任务重时间短,经过翻阅了大量网文,以及自己亲手搭建虚拟机测试到最后现场测试再验收。在此个人总结成了这一文档,如下载后别乱转 谢谢) (本手册适用于运维人员需要掌握一定的linux基础) 本文档涉及的主要知识点 环境Redhat6.4 jdk keytool 的使用 openssl 的使用 ssl证书的制作 nginx的安装以及配置
Nginx记录客户端POST过来的具体信息
weixin_34245169的博客
05-20 151
vim nginx/config/nginx.config $request_body这个变量值就是POST数据   log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" ...
工作中碰到的坑(1)----nginx配置ssl
Steve_Lai的博客
08-29 210
nginx在ssl配置当中,应当注意在ssl server中添加自身的php解析文档,不然会造成用户访问的时候直接将php源代码下载下来,会造成很大的安全问题。需要严重注意。需要在php处理程序里面将PHP代码写入,在ssl代码块中需要添加该段语句块。 ...
Nginx https加密以及nginx日志配置与管理
任何技能都是从模仿开始,逐步升华。
02-25 2448
转载:http://www.2cto.com/os/201303/192409.html 使用Nginx的优点 Nginx作为WEB服务器,Nginx处理静态文件、索引文件、自动索引的效率非常高。 Nginx作为代理服务器,Nginx可以实现无缓存的反向代理,提高网站的性能 Nginx作为负载均衡服务器,内部可以支持PHP、也可以支持HTTP代理服务器对外进行服务,同时还支持简单的容错
nginx中部署https服务,详细步骤
yuer1228的博客
02-07 1万+
Web服务器一般指网站服务器,可以处理浏览器等Web客户端的请求并返回相应响应,也可以放置网站文件,让全世界浏览;可以放置数据文件,让全世界下载。最主流的三个Web服务器是Apache、 Nginx 、IIS。本文主要介绍nginx中部署https服务的具体流程,也是搭建web的开端与主要步骤之一。一、https是什么?https英文全称是hypertext transfer protocol secure,是以安全为目标的http通道,在http的基础上通过传输加密和身份认证保证了传输过程的安全性。
nginx-common-configuration:Nginx常用配置
05-06
最后一滴是:该文章未提供完整的解决方案,默认情况下,这些技巧的一半可以包含在nginx配置或代码片段中,而其他一些技巧(例如,禁用访问日志记录,我认为这是不好的做法 :grinning_squinting_face: 同时,有很多...
nginx + nginx-http-flv-module-1.2.9
07-06
标题 "nginx + nginx-http-flv-module-1.2.9" 暗示我们要讨论的是一个基于 Nginx 的 HTTP FLV 模块,版本号为 1.2.9。Nginx 是一个高性能的 Web 和反向代理服务器,而 nginx-http-flv-module 是 Nginx 的一个扩展...
nginx-sticky-module-ng-1.2.6.tar.gz
最新发布
05-26
总之,Nginx Sticky Module Ng 1.2.6 是实现高效会话保持的有效工具,通过合理的配置和优化,可以为复杂的 Web 应用提供稳定的用户体验。在实际应用中,我们应当充分理解其工作原理,结合业务需求进行细致的配置,以...
nginx配置ssl证书实现https访问的示例
09-30
Nginx配置SSL证书实现HTTPS访问】 在互联网中,HTTPS协议已经成为网站安全的基本标准,它通过SSL(Secure Socket Layer)或其更新版本TLS(Transport Layer Security)来加密通信,确保用户数据的安全传输。本...
nginx配置https访问
热门推荐
我们仍未知道那天所见花的名字,但是她的香味却留在我心间
12-26 3万+
2:基于前后端分离开发方式,比如微信小程序,等这些移动端应用开发,比如:你的服务器接口必须是:https,微信小程序在真实的项目发布的,如果不是https的接口你也是通不过。在这步之前,你需要在工信部成功备案信息,注意:备案地址取决你的服务器厂商,服务器在哪个公司购买的就去哪个公司去备案,备案详情请咨询客服,客服会把你讲的明明白白。,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。
Nginx 配置 SSL(HTTPS)详解
小楼一夜听春雨,深巷明朝卖杏花
04-25 1万+
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
nginx配置ssl证书实现https访问
YHJ
06-04 3万+
配置ssl证书之前,先准备SSL证书,至于获取的途径很多(阿里云的服务,第三方服务购买)。这里不详细解释。以下是我的SSL证书 准备好证书后,找到nginx的安装目录,我的安装位置为:/usr/local/nginx 进入 config/nginx.conf 如果没有装winscp(一款可视化文件操作工具)的。可以通过命令行的方式,编辑nginx的config文件。 开始配置文件的修改 在修改配置文件之前,最好做一个备份,防止修改错误,也能及时回退错误 1、找到第一个监听..
nginx实现https访问
qq_36448587的博客
07-01 5857
nginx实现https访问 背景: 项目背景是在开发APP发布平台,ios的安装包的下载和自动更新等操作需要https获取plist文件,所以需要通过配置nginx的SSL模块来支持HTTPS访问,也就是说,要做一个网站域名为 域名.com 要求通过HTTPS://域名.com进行访问. SSL英文名为Secure Socket Layer,安全套接字层。SSL是一种数字证书,它使用ssl协议在浏览器和web server之间建立一条安全通道,数据信息在cl...
nginx 配置 ssl https遇到的坑
daisho的博客
10-19 1万+
今天用阿里云申请了一个免费的ssl证书。根据教程放到了服务器上,并且配置nginx。 但是死活无法正常访问https的地址。 最终找到了原因,服务器开了cdn加速,先要把证书推出去才能正常访问配置改了一圈回到原点,一开始配置就是非常正确的。 在阿里云ssl证书管理里面把证书推出去就能正常访问了。  ...
Windows系统配置nginx实现https访问
sunroyfcb的博客
10-31 1万+
1.安装nginx 下载与当前Windows系统版本对应的nginx,本次选择的是nginx-1.8.1版本。附上nginx下载地址:http://nginx.org/en/download.html。 2.安装OpenSLL 下载地址:http://slproweb.com/products/Win32OpenSSL.html。(根据Windows系统版本下载32位或者64位,本次下载版本...
Nginx自签SSL证书创建及配置方法
weixin_34290000的博客
12-05 691
场景:Nginx使用自签SSL证书实现https连接。方法:第一步:使用OpenSSL创建证书#建立服务器私钥(过程需要输入密码,请记住这个密码)生成RSA密钥 >opensslgenrsa-des3-outserver.key1024 #生成一个证书请求 >opensslreq-new-keyserver.key-outserver...
ssl证书安装完后,https访问后下载index文件,HTTP访问正常的。Nginx ssl设置后自动下载根目录的index.php而不是载入
投资自己
06-23 8692
Nginx安装ssl证书,https访问后,重新自动下载index.php文件。一开始的Nginx配置文件如下:#user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid ...
nginx配置HSTS:强制浏览器跳转HTTPS访问教程
nginx配置文件中,可以通过`server`块添加以下规则来实现这一功能: ```nginx server { listen 80; # 监听HTTP端口 server_name xxx.abc.com; # 替换为你的域名 rewrite ^/(.*)$ https://$host$1 permanent; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值