11. Nginx进阶-HTTPS

最新推荐文章于 2024-03-24 21:42:00 发布
最新推荐文章于 2024-03-24 21:42:00 发布
阅读量797 收藏 27
点赞数 13
分类专栏: Nginx 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40901913/article/details/136456493
版权

简介

基本概述

SSL

SSL是安全套接层。
主要用于认证用户和服务器,确保数据发送到正确的客户机和服务器上。
SSL可以加密数据,防止数据中途被窃取。
SSL也可以维护数据的完整性,确保数据在传输过程中不被改变。

HTTPS

HTTPS就是基于SSL来实现的安全通信。

证书

证书用于保证密钥的合法性。
证书的主体可以是用户、服务、计算机等。
证书的格式准信X.509标准。
数字证书包含如下信息:

  1. 使用者的公钥值;
  2. 使用者标识信息(如名称和电子邮件地址);
  3. 有效期(证书的有效时间);
  4. 颁发者表示信息;
  5. 颁发者的数字签名;
  6. 注意:数字证书由权威公正的第三方机构签发。

小知识

  1. HTTPS证书的选择
    1. 专业版OV型证书,不显示企业名称
    2. 高级版EV型证书,显示企业名称
  2. HTTPS证书购买选择
    1. 通配符域名,如:*.o-learn.cn
    2. 保护域名,如:www.baidu.com
  3. HTTPS注意事项
    1. HTTPS不支持三级域名解析;
    2. HTTPS不支持续费,证书到期后需要重新申请并进行替换;
    3. HTTPS显示绿色,表示整个网站的URL都是HTTPS的;
    4. HTTPS显示黄色,表示网站中包含HTTP的不安全连接;
    5. HTTPS显示红色,表示证书过期或者证书是假的;

配置场景

应用

申请证书

私有证书

  1. 检查OpenSSL工具
    1. 检查是否安装
openssl --version
  1. 如未安装,以下命令安装
yum install openssl openssl-devel
  1. 检查nginx的ssl模块
nginx -V 2>&1 | grep ssl
#with-http_ssl_module
  1. 生成密钥
    1. 创建密钥目录
mkdir -p /www/ssl_key
cd /www/ssl_key
  1. 生成密钥
openssl genrsa -des3 -out wang_mingqu_com.key 1024

# Generating RSA private key, 1024 bit long modulus
# ...++++++
# ..................................................................++++++
# e is 65537 (0x10001)
# Enter pass phrase for https.key: 123456
# Verifying - Enter pass phrase for https.key: 123456
  1. 删除私钥的密码
openssl rsa -in wang_mingqu_com.key -out wang_mingqu_com.key

# Enter pass phrase for https.key: 123456
# writing RSA key
  1. 生成证书
    1. 创建签名请求证书
openssl req -new -key wang_mingqu_com.key -out wang_mingqu_com.csr

# You are about to be asked to enter information that will be incorporated
# into your certificate request.
# What you are about to enter is what is called a Distinguished Name or a DN.
# There are quite a few fields but you can leave some blank
# For some fields there will be a default value,
# If you enter '.', the field will be left blank.
# -----
# Country Name (2 letter code) [XX]:CN
# State or Province Name (full name) []:HeNan
# Locality Name (eg, city) [Default City]:ZhengZhou
# Organization Name (eg, company) [Default Company Ltd]:MingQuKeJi
# Organizational Unit Name (eg, section) []:YunWeiBu
# Common Name (eg, your name or your server's hostname) []:wang.mingqu.com
# Email Address []:15515190288@163.com

# Please enter the following 'extra' attributes
# to be sent with your certificate request
# A challenge password []:
# An optional company name []:
  1. 生成SSL证书
openssl x509 -req -days 365 -in wang_mingqu_com.csr -signkey wang_mingqu_com.key -out wang_mingqu_com.crt

# Signature ok
# subject=/C=CN/ST=HeNan/L=ZhengZhou/O=MingQuKeJi/OU=YunWeiBu/CN=wang.mingqu.com/emailAddress=15515190288@163.com
# Getting Private key
  1. 查看证书和密钥
ll /www/ssl_key/
total 28
-rw-r--r-- 1 root  root  981 Feb 26 16:36 wang_mingqu_com.crt
-rw-r--r-- 1 root  root   716 Feb 26 16:32 wang_mingqu_com.csr
-rw-r--r-- 1 root  root  887 Feb 26 16:30 wang_mingqu_com.key

公网证书

配置HTTPS

  1. 创建证书存放目录
mkdir -p /etc/nginx/ssl_key
cp /www/ssl_key/wang_mingqu_com.crt /etc/nginx/ssl_key/
cp /www/ssl_key/wang_mingqu_com.key /etc/nginx/ssl_key/
chown -R nginx:nginx /etc/nginx/ssl_key/
  1. 编辑nginx配置文件

路径:/etc/nginx/conf.d/wangmingqu.conf

server {
  listen 443 ssl;
  server_name wang.mingqu.com;
  charset utf-8;

  #配置https证书
  #ssl on; 新版本nginx中无需添加此行。

  #证书的存放路径
  ssl_certificate /etc/nginx/ssl_key/wang_mingqu_com.crt;
  ssl_certificate_key /etc/nginx/ssl_key/wang_mingqu_com.key;

  #证书的缓存有效期
  ssl_session_timeout 5m;
  #证书的加密算法
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
  #安全链接可选的加密协议
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  #使用服务器端的首选算法
  ssl_prefer_server_ciphers on;

  location / {
    root /www/wangmingqu/html;
    index index.html index.htm;
  }
}

#跳转HTTPS
server {
  listen 80;
  server_name wang.mingqu.com;
  charset utf-8;

  #server_name:表示访问的域名,也可以使用变量$host;
  #server_name,跟定义的配置文件的server_name有关;
  #host,则是用户输入的内容;
  #request_uri:表示访问时域名后所有内容。
  rewrite .* https://$server_name$request_uri redirect;
  ##写法二:
  #rewrite .* https://$host$request_uri redirect;
  ##写法三:
  #rewrite (.*)  https://$server_name$1 redirect;
}
  1. 检查配置
nginx -t
systemctl reload nginx
  1. 访问测试

image.png
image.png

负载均衡HTTPS跳转

主机规划

主机名称主机IP服务
k8s-master-1192.168.108.129Nginx Proxy
k8s-master-2192.168.108.130Nginx Web1
k8s-master-3192.168.108.131Nginx Web2

配置站点

注意

移除其他测试配置文件

cd /etc/nginx/conf.d/
rename .conf .bak *.conf

web01配置

  1. 测试数据
mkdir -p /www/html/
echo "主机:192.168.108.130" > /www/html/index.html
chown -R nginx:nginx /www/html
  1. 配置nginx
    1. 主配置文件

配置文件路径:/etc/nginx/nginx.conf

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log notice;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;
}
  1. 子配置文件

配置文件路径:/etc/nginx/conf.d/web01.conf

server {
  listen 443;
  server_name wang.mingqu.com;
  chartset utf-8;

  location / {
    root /www/html/;
    index index.html index.htm;
  }
}
  1. 验证nginx服务
    1. 重启服务
nginx -t
systemctl restart nginx
  1. 验证服务
curl -iv 127.0.0.1:443

web02配置

  1. 测试数据
mkdir -p /www/html/
echo "主机:192.168.108.131" > /www/html/index.html
chown -R nginx:nginx /www/html
  1. 配置nginx
    1. 主配置文件

配置文件路径:/etc/nginx/nginx.conf

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log notice;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;
}
  1. 子配置文件

配置文件路径:/etc/nginx/conf.d/web02.conf

server {
  listen 443;
  server_name wang.mingqu.com;
  charset utf-8;

  location / {
    root /www/html/;
    index index.html index.htm;
  }
}
  1. 验证nginx服务
    1. 重启服务
nginx -t
systemctl restart nginx
  1. 验证服务
curl -iv 127.0.0.1:443

配置负载

注意

移除其他测试配置文件

cd /etc/nginx/conf.d/
rename .conf .bak *.conf

测试数据

mkdir -p /www/html/localhost
echo "主机:192.168.108.129" > /www/html/localhost/index.html
chown -R nginx:nginx /www/html

主配置文件

配置文件路径:/etc/nginx/nginx.conf

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log notice;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    rewrite_log     on;
    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;
}

子配置文件

配置文件路径:/etc/nginx/conf.d/proxy.conf

upstream web {
  server 192.168.108.130:443;
  server 192.168.108.131:443;
}

server {
  listen 80;
  server_name wang.mingqu.com;
  charset utf-8;

  location / {
    proxy_pass http://web;
  }

  location /localhost {
    root /www/html/;
    index index.html index.htm;
  }
}

验证服务

  1. 重启nginx
nginx -t
systemctl restart nginx
  1. 验证nginx
    1. 负载均衡本地服务

image.png

  1. 负载均衡后端服务

image.png
image.png

HTTPS跳转配置

证书文件

mkdir -p /etc/nginx/ssl_key
cp /www/ssl_key/wang_mingqu_com.crt /etc/nginx/ssl_key/
cp /www/ssl_key/wang_mingqu_com.key /etc/nginx/ssl_key/
chown -R nginx:nginx /etc/nginx/ssl_key/

配置文件调整

upstream web {
  server 192.168.108.130:443;
  server 192.168.108.131:443;
}

server {
  listen 443 ssl;
  server_name wang.mingqu.com;
  charset utf-8;

  #配置https证书
  #ssl on; 新版本nginx中无需添加此行。

  #证书的存放路径
  ssl_certificate /etc/nginx/ssl_key/wang_mingqu_com.crt;
  ssl_certificate_key /etc/nginx/ssl_key/wang_mingqu_com.key;

  #证书的缓存有效期
  ssl_session_timeout 5m;
  #证书的加密算法
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
  #安全链接可选的加密协议
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  #使用服务器端的首选算法
  ssl_prefer_server_ciphers on;

  location / {
    proxy_pass http://web;
    include proxy_params;
  }
}

#跳转HTTPS
server {
  listen 80;
  server_name wang.mingqu.com;
  charset utf-8;

  #server_name:表示访问的域名,也可以使用变量$host;
  #server_name,跟定义的配置文件的server_name有关;
  #host,则是用户输入的内容;
  #request_uri:表示访问时域名后所有内容。
  rewrite .* https://$server_name$request_uri redirect;
  ##写法二:
  #rewrite .* https://$host$request_uri redirect;
  ##写法三:
  #rewrite (.*)  https://$server_name$1 redirect;
}

测试HTTPS跳转

image.png
image.png
image.png

weixin_40901913
关注
  • 13
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lua-nginx-module-0.10.13
07-18
Lua-Nginx-Module,简称lua-nginx-module,是Nginx服务器的一个重要扩展模块,它将强大的Lua脚本语言集成到Nginx中,允许用户在Nginx配置文件中直接编写Lua代码,极大地增强了Nginx的功能性和灵活性。版本0.10.13是...
nginxvip -第4课笔记1
08-08
NginxVIP - 第4课笔记1】 本节课主要探讨了Nginx的高级用法,包括跨域处理、防盗链机制、缓存和压缩等方面的知识点。以下是详细内容: 一、Nginx核心功能回顾 1. 读取静态文件:Nginx擅长快速高效地处理静态...
nginx代理(十一)
董坤的博客
02-06 1564
Nginx负载均衡负载负载均衡调度LB公有云SLB 阿里云负载均衡QLB 青云负载均衡CLB 腾讯负载均衡ULB ucloud的负载均衡Nginx的反向代理中给一个location只能代理一台网站通常调度节点和服务节点都在一个地域里面用户公网访问负载均衡,负载均衡通过内网请求web,这样速度会非常快常用的架构模型:四层模型与七层模型的区别:四层负载均衡:只到四层时把数据包转发出去了。封装好了分给负载均衡,直接拆到第四层,然后就把后面三层抛出去了,交给后面的服务器。
配置nginx实现负载均衡和HTTPS
热门推荐
施勇
11-03 1万+
nginx的配置系统由一个主配置文件和其他一些辅助的配置文件构成。这些配置文件均是纯文本文件,全部位于nginx安装目录下的conf目录下。配置文件中以#开始的行,或者是前面有若干空格或者TAB,然后再跟#的行,都被认为是注释,也就是只对编辑查看文件的用户有意义,程序在读取这些注释行的时候,其实际的内容是被忽略的。由于除主配置文件nginx.conf以外的文件都是在某些情况下才使用的,而只有主配置文
Nginx https详解
qq_34125999的博客
07-14 592
1 HTTPS HTTPS是一种通过计算机网络行安全通信的传输协议。它经由HTTP行通信,利用SSL/TLS建立全通信,加密数据包,确保数据的安全性。 SSL(Secure Sockets Layer)安全套接层 TLS(Transport Layer Security)传输层安全 上述这两个是为网络通信提供安全及数据完整性的一种安全协议,TLS和SSL在传输层和应用层对网络连接行加密。 为什么要使用https,http协议是明文传输数据,存在安全问题,而https是加密传输,相当于http+ssl
nginx负载均衡实现https
weixin_33826609的博客
09-22 3240
如何通过nginx负载均衡跳转httpsweb端拷贝证书与密钥 scp -rp -P52113 /application/nginx/conf/key 10.0.0.5:/application/nginx/conf/在nginx负载均衡服务端配置vim /application/nginx/conf/nginx.confworker_processes2; erro...
nginx----平滑升级和location实战
m0_64919856的博客
10-12 159
nginx----平滑升级和location实战
nginx-3(32-34天)学习笔记
三思博客
03-24 343
nginx-3(33-34天)学习笔记 知识回顾 1. nginx部署单机网站 2.nginx部署多个网站 3.nginx访问方式 4.nginx 安全 5.nginx加密访问 实战 00---nginx企业实战 1.nginx搭建一个文件共享供用户下载的服务器 #步骤 1.配置nginx文件 cd /usr/local/nginx/conf/vhost vi bbs.conf #这里...
Nginx-代理配置
weixin_47867713的博客
11-29 498
正向代理的过程隐藏了真实的请求客户端,服务器不知道真实的客户端是谁,客户端请求的服务都被代理服务器代替请求。反向代理的过程隐藏了真实的服务器,客户不知道真正提供服务的人是谁,客户端请求的服务都被代理服务器处理。在计算机世界里,由于单个服务器的处理客户端(用户)请求能力有一个极限,当用户的接入请求蜂拥而入时,会造成服务器忙不过来的局面。反向代理服务器会把我们的请求分转发到真实提供服务的各台服务器。,可以使用多个服务器来共同分担成千上万的用户请求,这些服务器提供相同的服务,对于用户来说,根本感觉不到任何差别。
12. Nginx-Location
weixin_40901913的博客
03-04 725
location是配置在Server模块中的请求级别配置。location可以根据不同的URI使用不同的配置来处理不同的请求。location是有顺序的,会根据不同请求配置的优先级来匹配的location处理。
nginxvip -第5课笔记1
08-08
【标题】:“nginxvip -第5课笔记1”主要讲解了nginx的高级应用,包括HTTPS配置、keepalived实现nginx高可用以及MVVM开发模式中的后端与微服务概念。 【描述】中提到的内容概述如下: 1. **后端nginx**:描述...
nginxvip - 第二课笔记1
08-08
总之,本篇笔记涵盖了Nginx程管理、虚拟主机配置、URL路由和重写规则,以及基础的负载均衡设置,这些都是Nginx学习中的关键知识点。掌握这些技能,能够帮助我们更好地管理和优化Nginx服务器,提升网站性能和...
Nginx基础Nginx基础
05-11
Nginx基础】深入理解Nginx的核心特性与优势 Nginx是一款高效、轻量级的Web服务器和反向代理服务器,由伊戈尔·赛索耶夫为Rambler.ru站点开发,自2004年首次发布以来,因其稳定性和高效的并发处理能力而在全球...
【202309】毕马威-中国第六届领先汽车科技50_109页.pdf
07-28
【202309】毕马威-中国第六届领先汽车科技50_109页.pdf
毕业设计—流媒体视频直播服务器-可执行内含文档代码-可执行内含文档代码.zip
07-28
毕业设计—流媒体视频直播服务器-可执行内含文档代码-可执行内含文档代码.zip
【202206】中国汽车潮流观察报告-汽车之家研究院_54页.pdf
07-28
【202206】中国汽车潮流观察报告-汽车之家研究院_54页.pdf
tour-project【程序员VIP专用】.zip
最新发布
07-28
【项目简介】 HTML5+CSS实现雪花旅行社
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值