配置HTTPS

最新推荐文章于 2024-04-26 19:45:32 发布
最新推荐文章于 2024-04-26 19:45:32 发布
阅读量288 收藏 1
点赞数
分类专栏: Linux 文章标签: https ssl nginx 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012391293/article/details/124999854
版权

要配置 HTTPS 服务器,必须在服务器块中的侦听套接字上启用该参数,并且应指定服务器证书和私钥文件的位置:

server {
    listen              443 ssl;
    server_name         www.example.com;
    ssl_certificate     www.example.com.crt;
    ssl_certificate_key www.example.com.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ...
}

服务器证书是一个公共实体。它被发送到连接到服务器的每个客户端。私钥是一个安全的实体,应该存储在一个访问受限的文件中,但是,它必须可以被nginx的主进程读取。私钥可以交替地存储在与证书相同的文件中:

ssl_certificate     www.example.com.cert;
    ssl_certificate_key www.example.com.cert;

在这种情况下,文件访问权限也应受到限制。尽管证书和密钥存储在一个文件中,但只有证书发送到客户端。

ssl_protocols和ssl_ciphers指令可用于限制连接,使其仅包含 SSL/TLS 的强版本和密码。默认情况下,nginx使用“”和“”,因此通常不需要显式配置它们。请注意,这些指令的默认值已更改多次。ssl_protocols TLSv1 TLSv1.1 TLSv1.2ssl_ciphers HIGH:!aNULL:!MD5

HTTPS 服务器优化
SSL 操作会消耗额外的 CPU 资源。在多处理器系统上,应运行几个工作进程,不少于可用 CPU 内核的数量。CPU 占用最多的操作是 SSL 握手。有两种方法可以最大限度地减少每个客户端的这些操作的数量:第一种方法是启用保持活动连接以通过一个连接发送多个请求,第二种方法是重用 SSL 会话参数以避免并行和后续连接的 SSL 握手。会话存储在工作线程之间共享并由 ssl_session_cache 指令配置的 SSL 会话缓存中。一兆字节的缓存包含大约 4000 个会话。默认缓存超时为 5 分钟。可以通过使用ssl_session_timeout指令来增加它。下面是针对具有 10 MB 共享会话缓存的多核系统优化的示例配置:

worker_processes auto;

http {
    ssl_session_cache   shared:SSL:10m;
    ssl_session_timeout 10m;

    server {
        listen              443 ssl;
        server_name         www.example.com;
        keepalive_timeout   70;

        ssl_certificate     www.example.com.crt;
        ssl_certificate_key www.example.com.key;
        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers         HIGH:!aNULL:!MD5;
        ...

证书链
某些浏览器可能会抱怨由知名证书颁发机构签名的证书,而其他浏览器可能会毫无问题地接受该证书。发生这种情况是因为颁发机构使用中间证书对服务器证书进行了签名,该中间证书不存在于使用特定浏览器分发的已知受信任证书颁发机构的证书库中。在这种情况下,颁发机构提供一堆链接的证书,这些证书应连接到签名的服务器证书。服务器证书必须出现在组合文件中链接的证书之前:

$ cat www.example.com.crt bundle.crt > www.example.com.chained.crt
生成的文件应在 ssl_certificate 指令中使用:

server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate www.example.com.chained.crt;
ssl_certificate_key www.example.com.key;

}
如果服务器证书和捆绑包以错误的顺序连接,nginx将无法启动并显示错误消息:

SSL_CTX_use_PrivateKey_file(" … /www.example.com.key") failed
(SSL: error:0B080074:x509 certificate routines:
X509_check_private_key:key values mismatch)
因为nginx试图将私钥与捆绑包的第一个证书一起使用,而不是服务器证书。

浏览器通常存储它们接收的中间证书,这些证书由受信任的颁发机构签名,因此主动使用的浏览器可能已经具有所需的中间证书,并且可能不会抱怨在没有链接捆绑包的情况下发送的证书。为了确保服务器发送完整的证书链,可以使用命令行实用程序,例如:openssl

$ openssl s_client -connect www.godaddy.com:443

Certificate chain
0 s:/C=US/ST=Arizona/L=Scottsdale/1.3.6.1.4.1.311.60.2.1.3=US
/1.3.6.1.4.1.311.60.2.1.2=AZ/O=GoDaddy.com, Inc
/OU=MIS Department/CN=www.GoDaddy.com
/serialNumber=0796928-7/2.5.4.15=V1.0, Clause 5.(b)
i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc.
/OU=http://certificates.godaddy.com/repository
/CN=Go Daddy Secure Certification Authority
/serialNumber=07969287
1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc.
/OU=http://certificates.godaddy.com/repository
/CN=Go Daddy Secure Certification Authority
/serialNumber=07969287
i:/C=US/O=The Go Daddy Group, Inc.
/OU=Go Daddy Class 2 Certification Authority
2 s:/C=US/O=The Go Daddy Group, Inc.
/OU=Go Daddy Class 2 Certification Authority
i:/L=ValiCert Validation Network/O=ValiCert, Inc.
/OU=ValiCert Class 2 Policy Validation Authority
/CN=http://www.valicert.com//emailAddress=info@valicert.com

使用 SNI 测试配置时,请务必指定该选项,因为默认情况下不使用 SNI。-servernameopenssl
在此示例中,服务器证书 #0 的使用者 (“s”) 由颁发者 (“i”) 签名,该颁发者本身就是证书 #1 的使用者,颁发者本身就是证书 #2 的使用者,该颁发者由著名的颁发者 ValiCert, Inc. 签名,其证书存储在浏览器的内置证书库中(位于 Jack 构建的房屋中)。www.GoDaddy.com

如果尚未添加证书捆绑包,则仅显示服务器证书 #0。

单个 HTTP/HTTPS 服务器
可以配置同时处理 HTTP 和 HTTPS 请求的单个服务器:

server {
listen 80;
listen 443 ssl;
server_name www.example.com;
ssl_certificate www.example.com.crt;
ssl_certificate_key www.example.com.key;

}
在 0.7.14 之前,无法为单个侦听套接字有选择地启用 SSL,如上所示。只能使用 ssl 指令为整个服务器启用 SSL,因此无法设置单个 HTTP/HTTPS 服务器。添加了 listen 指令的参数来解决此问题。因此,不鼓励在现代版本中使用 ssl 指令。ssl
基于名称的 HTTPS 服务器
在单个 IP 地址上配置两个或多个 HTTPS 服务器侦听时,会出现一个常见问题:

server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate www.example.com.crt;

}

server {
listen 443 ssl;
server_name www.example.org;
ssl_certificate www.example.org.crt;

}
使用此配置,浏览器接收默认服务器的证书,即 无论请求的服务器名称如何。这是由 SSL 协议行为引起的。SSL连接是在浏览器发送HTTP请求之前建立的,nginx不知道所请求服务器的名称。因此,它可能只提供默认服务器的证书。www.example.com

解决此问题的最古老,最可靠的方法是为每个HTTPS服务器分配一个单独的IP地址:

server {
listen 192.168.1.1:443 ssl;
server_name www.example.com;
ssl_certificate www.example.com.crt;

}

server {
listen 192.168.1.2:443 ssl;
server_name www.example.org;
ssl_certificate www.example.org.crt;

}

文章作者: 期待未来的男孩
文章连结: /archives/pei-zhi-https
版权声明: 本部落格所有文章除特别声明外,均採用 CC BY-NC-SA 4.0 许可协议。转载请註明来自 期待未来的男孩
nginx
上一篇 下一篇
期待未来的男孩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
在本地配置https服务器详细流
04-26
详细说明了配置本地https服务器的流程步骤+配图,傻瓜式教学
apache配置https
06-27
在Apache上配置HTTPS涉及到几个关键步骤,下面将详细介绍这个过程。 首先,我们需要确保Apache已经安装并且运行正常。如果还没有安装,可以通过操作系统特定的包管理器来安装,例如在Ubuntu上使用`sudo apt-get ...
阿里巴巴服务器配置https请求
终是庄周
03-17 1084
文章目录阿里云-云服务器ECS 配置https请求方式1.申请SSL证书购买完成后.下载证书( 备用 )点击帮助:获取帮助文档: 阿里云-云服务器ECS 配置https请求方式 1.申请SSL证书 打开阿里云控制台 左侧搜索 ssl证书 SSL证书 选择购买证书 购买完成后. 申请 配置一下域名.以及其他信息,等待申请成功 下载证书( 备用 ) 点击帮助:获取帮助文档: 在Nginx...
HTTPS域名及SSL证书常识及配置
qq_34583944的博客
08-22 5872
在握手过程中,网站会向浏览器发送SSL证书,SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证明,SSL证书里面包含了网站的域名,证书有效期,证书的颁发机构以及用于加密传输密码的公钥等信息,由于公钥加密的密码只能被在申请证书时生成的私钥解密,因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致,同时还要对证书的颁发机构进行验证,如果验证失败浏览器会给出证书错误的提示。根证书是最关键的一个证书,如果根证书不受信任,它下面颁发的所有证书都不受信任。
如何配置HTTPS
m0_54797663的博客
09-11 1674
如何配置HTTPS 登录阿里云,按照如下流程:申请SSL证书。申请完后,一般等待几分钟就能申请成功。 申请成功后。下载nginx证书的压缩文件,下载成功后将压缩包解压,解压包中包含了证书文件xxx.pem和私钥文件xxx.key。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JQpJfE7U-1617873237554)(C:\Users\Administrator\Desktop\QQ截图20210408165635.png)] 解压包上传到服务器
Https服务器配置-基于Nginx
不能如期而至的专栏
10-23 1036
 上篇 我们讨论了用阿里免费证书在SpringBoot项目中配置Https服务,实际网站部署中,我们往往有一个前置的Nginx反向代理服务器,因为后端服务可能也不是SpringBoot项目,比如nodejs等。配置在Nginx可以屏蔽后端的具体服务,客户端和Nginx之间通过TSL安全协议通信,Nginx在和后端服务通过一个http代理通信。  这样的好处有两个:第一是不用考虑后端服务的差异化配置...
linux tomcat配置https的方法
09-15
主要介绍了linux tomcat配置https的方法,需要的朋友可以参考下
WAS9或WAS8配置HTTPS证书详细教程
03-10
本教程将详细介绍如何在 WAS 9 或 WAS 8 上配置 HTTPS 证书,以实现安全的 HTTPS 访问。 首先,我们需要创建一个经过证书颁发机构 (CA) 认证的密钥库文件。这通常涉及到以下几个步骤: 1. 使用 Java 提供的 `...
tomcat 配置https
03-22
tomcat 配置https 详情, tomcat 配置http 强制跳转到https
tomcat配置https
06-11
tomcat7+jdk的keytool生成证书 配置https
NC61+nc中间件+Https配置方案.docx
05-01
NC61+nc中间件+ HTTPS配置方案,Apache安装, 从网上下载带有openssl的Apache: httpd-2.2.22-win32-x86-openssl-0.9.8t.msi mod_jk.so 说明:APACHE安装完后,需要将Apache插件mod_jk.so文件拷贝到Apache_home\modules目录下。
Nginx服务器中关于SSL的安全配置详解
09-30
主要介绍了Nginx服务器中关于SSL的安全配置详解,2014年曝出的SSL安全漏洞无疑为整个业界带来了巨大震动,本文便对此给出相关安全维护方法,需要的朋友可以参考下
https配置
weixin_33989058的博客
06-13 177
1. https配置 1.1. 步骤 升级HTTPS,我们可以分为购买证书、安装证书、设置跳转这三个步骤 1.2. 申请证书 证书类型分为DV、OV、EV这三种,这三种有什么区别? - DV(域名型SSL):个人站点、iOS应用分发站点、登陆等单纯https加密需求的链接; - OV(企业型SSL):企业官网; - EV(增强型SSL):对安全需求更强的企业官网、电商、互联网金融网站; SSL...
【案例2】NC HTTPS 方案
Z.Virgil的博客
03-08 3805
NC HTTPS 方案 目录 Apache Http Server +NC集群 IHS +WAS集群 Apache Http Server +NC集群 方案: 在internet到Apach这段使用ssl,而从Apache到应用使用HTTP 系统环境:RedHat6.1+Apache http Server 2.2.15(系统自带) 前提:NC集群部署完成之后,然后进行HTTPS...
linux docker位置查找,linux – 如何在Docker中获取依赖子图像列表?(1)
2301_77118221的博客
04-26 320
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。您应该能够查找父ID以f50f9524513f开头的图像,然后查找这些图像的子图像等.但是.Parent isn’t what you think.,所以在大多数情况下,您需要指定docker图像 – 以上所有才能使其工作,那么你也将获得所有中间层的图像ID.需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
Https配置
Code First
06-05 232
新建maven项目: 目录结构: 配置pom.xml <dependencies> <dependency> <!--junit--> <groupId>junit</groupId> <artifactId&
配置HTTPS全过程
热门推荐
csdn_bbc的博客
08-09 5万+
HTTPS配置全过程 服务器配置https协议 HTTPS,是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 配置HTTPS就需要证书,关于证书方面不做过多解释,只介绍大概情况 : 证书通过权威的CA机构付费获得的证书才能被互联网承认,我们将其放在服务器上面,配置好后,就可以进行https通...
一文手把手带你配置HTTPS
printf200的博客
09-10 373
大家好,我是200,我又来给大家更新了~ 应用背景 需求:“当开发完需要部署上线时,需要配置https保证访问安全” 准备工作 首先需要有一套服务器并且具备域名以及备案完成,可自行购买 环境:Linux服务器 实操 1.首先说明一下200使用的是阿里云Linux服务器,事先已经有了域名 2.然后我们需要申请一下SSL证书 传送门:点击连接 3.申请成功如下 4.选择对应需要的服务器类型 本文使用的是tomcat版本 点击下载会出现下图选择Tomcat版本 下载完成文件 5.需要在tomcat目录下c.
服务器配置https协议,三种免费的方法
diyanzong6528的博客
09-03 639
最近想搞一个网站玩玩,发布网站用https协议已经是大势所趋了。例如微信小程序,不使用https协议根本不让接入。所以,分享一下我尝试过的三种方法。 1.Linux自签(OPENSSL生成SSL自签证书) 2.阿里云免费证书 3.Let's Encrypt永久免费SSL证书【墙裂推荐】 一、Linux自签(OPENSSL生成SSL自签证书) 第1步:生成私钥 执行如下命令生成一个RS...
IIS 配置HTTPS
最新发布
05-07
2.在IIS管理器中,选择你想要配置HTTPS的站点,然后选择“Bindings”选项卡。在“Site Bindings”对话框中,选择“Add”按钮。在“Add Site Binding”对话框中,设置以下值: - Type: HTTPS - IP address: All ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

期待未来的男孩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值