nginx 之https

最新推荐文章于 2024-05-21 10:11:54 发布
最新推荐文章于 2024-05-21 10:11:54 发布
阅读量153 收藏
点赞数
文章标签: 运维 php 数据库
原文链接:http://www.cnblogs.com/223zhp/p/11435755.html
版权

2.1Nginx单台实现HTTPS实战

1715505-20190830163135547-1128732295.png

nginx必须有ssl模块

[root@web01 ~]# nginx -V
--with-http_ssl_module

创建存放ssl证书的路径

[root@web01 ~]# mkdir -p /etc/nginx/ssl_key
[root@web01 ~]# cd /etc/nginx/ssl_key
2.2使用openssl命令充当CA权威机构创建证书(生产不使用此方式生成证书,不被互联网认可的黑户证书)

[root@web01 ssl_key]# openssl genrsa -idea -out server.key 2048
Generating RSA private key, 2048 bit long modulus
...............................................+++
............................................+++
e is 65537 (0x10001)

密码暂时使用1234

Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
[root@web01 ssl_key]# ls
server.key
2.3 生成自签证书,同时去掉私钥的密码

[root@web03 ssl_key]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
Generating a 2048 bit RSA private key
..................................................................................................+++
...................................................................................................+++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:chinese^H^H
string is too long, it needs to be less than 2 bytes long
Country Name (2 letter code) [XX]:ch
State or Province Name (full name) []:cha^H^[[A^[[B
Locality Name (eg, city) [Default City]:beijin
Organization Name (eg, company) [Default Company Ltd]:shiwei
Organizational Unit Name (eg, section) []:yunwei
Common Name (eg, your name or your server's hostname) []:haoda.com
Email Address []:123@qq.com

req --> 用于创建新的证书

new --> 表示创建的是新证书

x509 --> 表示定义证书的格式为标准格式

key --> 表示调用的私钥文件信息

out --> 表示输出证书文件信息

days --> 表示证书的有效期

2.4 证书申请完成后需要了解Nginx如何配置https

启动ssl功能

Syntax: ssl on | off;
Default: ssl off;
Context: http,server

证书文件

Syntax: ssl_certificate file;
Default: -
Context: http,server

私钥文件

Syntax: ssl_certificate_key fil;
Default: -
Context: http,server
2.5 Nginx配置https实例

[root@web01 conf.d]# cat ssl.conf
server {
listen 443 ssl;
server_name s.haoda.com;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
root /code;
index index.html;
}
}

配置将用户访问http请求强制跳转https

server {
listen 80;
server_name s.haoda.com;
return 302 https://$server_name$request_uri;
}

准备对应的站点目录,并重启Nginx

[root@web01 conf.d]# echo "123" > /code/index.html
[root@web01 conf.d]# nginx -s reload
1715505-20190830163233691-529383834.png

  1. Nginx集群实现HTTPS实践

实战Nginx负载均衡+Nginx WEB配置HTTPS安全

1715505-20190830163255561-44734905.png

3.1 环境准备

主机名 外网IP(NAT) 内网IP(LAN) 角色
lb01 10.0.0.5 172.16.1.5 负载均衡
web02 10.0.0.8 172.16.1.8 web服务器
web03 10.0.0.9 172.16.1.9 web服务器
3.2 配置web02、web03服务器监听80端口

[root@web02 conf.d]# cat ssl.conf
server {
listen 80;
server_name s.haoda.com;

    location / {
            root /code;
            index index.html;
    }

}

web03配置相同

3.3 把证书直接拿到lb服务器

[root@lb01 conf.d]# cd ..
[root@lb01 nginx]# scp -rp 172.16.1.9:/etc/nginx/ssl_key ./
3.4 配置lb01的nginx配置

[root@lb01 conf.d]# cat proxy_ssl.conf
upstream website {
server 172.16.1.8:80;
server 172.16.1.9:80;
}

server {
listen 443 ssl;
server_name s.haoda.com;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
proxy_pass http://website;
proxy_set_header Host $http_host;
}
}

server {
listen 80;
server_name s.haoda.com;
return 302 https://$server_name$request_uri;
}
3.5 浏览器访问查看

1715505-20190830163315762-219163478.png

  1. 真实业务场景实现HTTPS实践

4.1 配置知乎、博客对应的负载均衡lb01服务器的配置

web01

[root@web01 conf.d]# vim ssl.conf

server {
listen 80;
server_name blog.drz.com;
location / {
root /code/wordpress;
index index.php index.html;
}
}

web02

[root@web02 conf.d]# cat ssl.conf
server {
listen 80 ;
server_name zh.drz.com;
location / {
root /code/zh;
index index.php index.html;
}
}

[root@lb01 nginx]# cat proxy_params
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_connect_timeout 30;
proxy_send_timeout 60;
proxy_read_timeout 60;

proxy_buffering on;
proxy_buffer_size 32k;
proxy_buffers 4 128k;

[root@lb01 conf.d]# cat proxy_wp.conf
upstream blog {
server 172.16.1.7:80;
server 172.16.1.8:80;
}

用户的http请求跳转至https

server {
listen 80;
server_name blog.drz.com;
return 302 https://$server_name$request_uri;
}

server {
listen 80;
server_name zh.drz.com;
return 302 https://$server_name$request_uri;
}

server {
listen 443;
server_name blog.drz.com;
ssl on;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
proxy_pass http://blog;
include proxy_params;
}
}

server {
listen 443;
server_name zh.drz.com;
ssl on;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
proxy_pass http://blog;
include proxy_params;
}
}

重启负载nginx

[root@lb01 conf.d]# nginx -s reload
4.2 浏览器查看效果
1715505-20190830163337487-118657540.png
1715505-20190830163422618-1513298812.png

1715505-20190830163356930-1880432697.png
4.3 修正乱码效果,配置知乎、博客对应的web服务器的配置

负载访问使用的https后端web使用的是http,对于PHP来说他并不知道用的到底是什么所以会出现错误;

修正该问题配置

[root@web01 conf.d]# cat zh.conf
server {
listen 8866;
server_name zh.drz.com;
root /code/zh;
index index.php index.html;

    location ~ \.php$ {
            root /code/zh;
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            #告诉PHP我前置的负载使用的是https协议
            fastcgi_param HTTPS on;
            include        fastcgi_params;
    }

}

[root@web02 conf.d]# cat wordpress.conf
server {
listen 80;
server_name blog.drz.com;
root /code/wordpress;
index index.php index.html;
client_max_body_size 100m;

    location ~ \.php$ {
            root /code/wordpress;
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME $document_root$fastcgi_script_name;
            fastcgi_param HTTPS on;
            include fastcgi_params;
    }

}

重启两台nginx

[root@web01 conf.d]# nginx -s reload
[root@web02 conf.d]# nginx -s reload

[root@lb01 conf.d]# cat proxy_wp.conf
upstream blog {
server 172.16.1.7:8866;
server 172.16.1.8:80;
}

用户的http请求跳转至https

server {
listen 80;
server_name blog.drz.com;
return 302 https://$server_name$request_uri;
}

server {
listen 80;
server_name zh.drz.com;
return 302 https://$server_name$request_uri;
}

server {
listen 443;
server_name blog.drz.com;
ssl on;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
proxy_pass http://blog;
include proxy_params;
}
}

server {
listen 443;
server_name zh.drz.com;
ssl on;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
proxy_pass http://blog;
include proxy_params;
}
}

4.4 浏览器再次查看效果

1715505-20190830163448524-991772710.png

wordpress早期安装如果是使用的http方式,那开启https后会导致图片出现破损或加载不全的情况

建议:1、在安装WordPress之前就配置好https;2、在WordPress后台管理页面,设置-->常规-->修改(WordPress地址及站点地址)为 https://3、注意:WordPress很多链接在安装时被写入数据库中。
1715505-20190830163508237-906900855.png

4.5 配置PHPmyadmin负载均衡lb01服务器的配置

[root@lb01 conf.d]# cat proxy_php.conf
upstream php {
server 172.16.1.7:80;
server 172.16.1.8:80;
}

server {
listen 80;
server_name php.haoda.com;
return 302 https://$server_name$request_uri;
}

server {
listen 443;
ssl on;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
server_name php.haoda.com;
location / {
proxy_pass http://php;
include proxy_params;
}
}
4.6 浏览器查看效果

1715505-20190830163521020-29471617.png

4.7 配置PHPmyadmin的web服务器配置

[root@web01 conf.d]# cat php.conf
server {
listen 80;
server_name php.haoda.com;
root /code/phpMyAdmin-4.9.0.1-all-languages;

    location / {
            index index.php index.html;
    }

    location ~ \.php$ {
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            fastcgi_param HTTPS on;
            include fastcgi_params;
    }

}
4.8 浏览器再次查看效果
1715505-20190830163535696-660112347.png

转载于:https://www.cnblogs.com/223zhp/p/11435755.html

weixin_30693683
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx从http升级https
wuyinghao_ps的博客
12-15 566
摘要:本文主要讲在http已有的情况下,进行https支持 步骤如下: 一、将证书放在nginx/ssl/文件夹下面,包括XXX.key和XXX.crt 二、搞定配置文件 1、把http的配置粘贴一遍到下面 2、将listen 80改成listen 443 ssl 3 、增加 sl on;
nginx配置https
qq_42952532的博客
04-04 215
我是 阿里云的服务器与域名,网站是用django写的,用nginx部署到服务器上 先说问题,配置完https之后,用https访问,加载的静态文件是我原项目的静态文件,用http访问,加载的静态文件是我后采集的静态文件,现在没有直接的解决办法,间接的解决办法是在nginx里配置http强转https,用rewrite方法, 对于遇到的问题,请教各路大神 下面写如何配置https 控制台里点域名 ...
阿里云服务器配置https(安装ssl证书)以及强制使用https
柚子烧酒
04-23 2025
一. 购买ssl证书 我是在阿里云购买的,证书选型、价格以及申请流程可以参照官方文档:阿里云SSL证书 主要是以下几步: 证书选型和购买 证书申请 等待审核(免费的DV证书非常快,我等了10多分钟就审核完了,会有短信或者邮件提醒的) 下载证书 二. 安装证书 阿里云对应不同服务器,也有安装证书的官方文档:SSL证书安装指南 我的是 Apache服务器,主要是以下几步: 远程连接服务器(推荐...
强制跳转 https 的几种方法
Supaopao的博客
12-11 5057
强制跳转 https 的几种方法 html 文件,head 中加入如下meta <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> javascript 脚本,适用于IIS服务器的 403-4.htm 或者 403.htm <script type="text/javascript"> var url = window.location.href; if (url.index
nginx配置https(内网)
最新发布
qq_70531838的博客
05-21 800
生成自签名根证书并设置证书的有效期,crt是发给客户端的证书。最后居然成功了,但还是比较浅,后面再深入一下。#这一步主要是去除密钥的密码,便于后续部署。#有的需要pem的证书,对证书做的转换。
nginx强制使用https访问(http跳转到https)
热门推荐
mnasd的博客
01-17 3万+
需求简介 基于nginx搭建了一个https访问的虚拟主机,监听的域名是test.com,但是很多用户不清楚https和http的区别,会很容易敲成http://test.com,这时会报出404错误,所以我需要做基于test.com域名的http向https的强制跳转 我总结了三种方式,跟大家共享一下     nginx的rewrite方法   思路 这应该是大家最容易想到的方法...
强制使用https访问
harryhare的专栏
03-27 7755
环境: tomcat8 jsp 准备: 1.产生密匙 2.在server.xml里配置密匙 方案: 1.在相应的应用的web.xml中加入 CONFIDENTIAL 具体做法可能有不同,下面是采用form权限验证时的配置 zzz xxx /* DELETE GET POST PUT
Nginx内网环境开启https双协议
Mr_Wanter
05-13 986
nginx内网环境配置https
nginx配置+https
12-10
nginx配置+https
nginx https 配置
11-23
"nginx https 配置"这个主题涉及到的是如何在Nginx上设置HTTPS服务,以实现网站的安全访问。HTTPS是HTTP协议的安全版本,通过使用SSL/TLS协议来加密数据传输,确保用户与服务器之间的通信不被中间人攻击。 首先,...
nginx_https+tomcat_http配置.docx
04-03
nginx配置https反向代理到tomcat的http,包括windows版本和linux版本的软件下载,安装,配置等
nginx强制使用https访问的方法(http跳转到https)
09-30
主要介绍了nginx强制使用https访问的方法(http跳转到https),具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
nginx实现ssl之https改造(包含单机版以及负载均衡配置)
12-04
(最近安排的ssl改造工作任务重时间短,经过翻阅了大量网文,以及自己亲手搭建虚拟机测试到最后现场测试再验收。在此个人总结成了这一文档,如下载后别乱转 谢谢) (本手册适用于运维人员需要掌握一定的linux基础) 本文档涉及的主要知识点 环境Redhat6.4 jdk keytool 的使用 openssl 的使用 ssl证书的制作 nginx的安装以及配置
nginxhttps证书
07-25
Nginx作为一款高性能的HTTP和反向代理服务器,支持HTTPS证书的配置,为网站提供安全的HTTPS服务。本篇文章将深入探讨Nginx配置HTTPS证书的相关知识点。 首先,了解HTTPS的基本原理。HTTPS是在HTTP的基础上加入了SSL...
【微服务部署】05-安全:强制HTTPS
Tiger_shl的博客
08-29 1168
强制HTTPS
Nginx 配置 SSL(HTTPS)详解
小楼一夜听春雨,深巷明朝卖杏花
04-25 4550
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
nginx 内网 端口转发 ssl https 配置
博客
07-28 7885
需求 由于资源有限,有多个域名但是只有一台服务器,需要在同一台服务器上部署多个业务,但是访问不受限制,决定使用nginx 根据访问的域名进行进行内部服务转发。 假设有资源 域名test1.com,test2.com 需要运的服务test1,test2 一台服务器 nginx.conf配置 #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; erro
ubuntu使用ngnix的配置https证书并查看证书是否过期
xyh的博客
07-21 5266
1.如果服务器证书是通过nginx管理的,直接替换证书不会生效,需要重新加载nginx配置文件(在nginx的安装路径下执行./nginx -s reload)即可,无需重启nginx服务。 2.替换完证书可以查看域名下的证书有效期时间,以百度的域名为例echo | openssl s_client -servername baidu.com -connect baidu.com:443 2&amp;amp;amp;amp;g...
nginx代理https
10-15
要使用nginx代理https,需要进行以下步骤: 1. 安装nginx和openssl 2. 生成SSL证书和私钥 3. 配置nginxHTTPS服务器块 4. 重启nginx服务 具体步骤如下: 1. 安装nginx和openssl 在Linux系统中,可以使用以下命令安装nginx和openssl: ``` sudo apt-get update sudo apt-get install nginx openssl ``` 2. 生成SSL证书和私钥 使用openssl生成SSL证书和私钥,可以使用以下命令: ``` sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/cert.key -out /etc/nginx/cert.crt ``` 其中,`/etc/nginx/cert.key`是私钥文件的路径,`/etc/nginx/cert.crt`是证书文件的路径。在执行该命令时,需要按照提示输入一些信息,如国家、省份、城市、组织名称、Common Name等。 3. 配置nginxHTTPS服务器块 在nginx的配置文件中,添加一个HTTPS服务器块,可以使用以下命令打开nginx的默认配置文件: ``` sudo nano /etc/nginx/sites-available/default ``` 在该文件中,添加以下内容: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/cert.crt; ssl_certificate_key /etc/nginx/cert.key; location / { proxy_pass http://localhost:8000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } } ``` 其中,`listen 443 ssl;`表示监听443端口,并启用SSL;`server_name example.com;`表示服务器的域名;`ssl_certificate`和`ssl_certificate_key`分别指定证书和私钥的路径;`proxy_pass`指定代理的目标地址,这里是本地的8000端口。 4. 重启nginx服务 完成以上配置后,需要重启nginx服务,可以使用以下命令: ``` sudo systemctl restart nginx ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值