实现SSL的NGINX的详细配置过程

最新推荐文章于 2024-04-25 16:44:33 发布
最新推荐文章于 2024-04-25 16:44:33 发布
阅读量431 收藏 1
点赞数
分类专栏: Linux学习笔记 文章标签: Linux Nginx SSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44983653/article/details/100868125
版权

实现SSL的NGINX的详细配置过程

1、建立 CA

1.1 创建私钥

[root@neo ~]# cd /etc/pki/CA/
[root@neo CA]# ll
total 0
drwxr-xr-x. 2 root root 40 Jul 19 22:12 certs
drwxr-xr-x. 2 root root  6 Oct 30  2018 crl
drwxr-xr-x. 2 root root  6 Oct 30  2018 newcerts
drwx------. 2 root root  6 Oct 30  2018 private
[root@neo CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
...+++
......+++
e is 65537 (0x10001)
[root@neo CA]# ll private/
total 4
-rw-------. 1 root root 1679 Sep 15 09:29 cakey.pem

1.2 生成自签证书

[root@neo CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN 
State or Province Name (full name) []:BEIJING 
Locality Name (eg, city) [Default City]:BEIJING
Organization Name (eg, company) [Default Company Ltd]:NEOTANG   
Organizational Unit Name (eg, section) []:NEO
Common Name (eg, your name or your server's hostname) []:NEOTANG                  
Email Address []:neo@tang.com
[root@neo CA]# ll
total 4
-rw-r--r--. 1 root root 1391 Sep 15 09:38 cacert.pem
drwxr-xr-x. 2 root root   40 Jul 19 22:12 certs
drwxr-xr-x. 2 root root    6 Oct 30  2018 crl
drwxr-xr-x. 2 root root    6 Oct 30  2018 newcerts
drwx------. 2 root root   23 Sep 15 09:29 private
[root@neo CA]# touch index.txt
[root@neo CA]# echo 01 > serial
[root@neo CA]# ll
total 8
-rw-r--r--. 1 root root 1391 Sep 15 09:38 cacert.pem
drwxr-xr-x. 2 root root   40 Jul 19 22:12 certs
drwxr-xr-x. 2 root root    6 Oct 30  2018 crl
-rw-r--r--. 1 root root    0 Sep 15 09:55 index.txt
drwxr-xr-x. 2 root root    6 Oct 30  2018 newcerts
drwx------. 2 root root   23 Sep 15 09:29 private
-rw-r--r--. 1 root root    3 Sep 15 09:55 serial

2、Nginx 服务器申请证书

2.1 创建私钥

[root@Neo_Tang ~]# mkdir /etc/nginx/ssl
[root@Neo_Tang ~]# cd /etc/nginx/ssl/
[root@Neo_Tang ssl]# ll
total 0
[root@Neo_Tang ssl]# (umask 077;openssl genrsa -out nginx.key 2048)
Generating RSA private key, 2048 bit long modulus
.....+++
............+++
e is 65537 (0x10001)
[root@Neo_Tang ssl]# ll
total 4
-rw-------. 1 root root 1679 Sep 15 09:44 nginx.key

2.2 生成自签证书

[root@Neo_Tang ssl]# openssl req -new -key nginx.key -out nginx.csr 
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BEIJING
Locality Name (eg, city) [Default City]:BEIJING
Organization Name (eg, company) [Default Company Ltd]:NEOTANG
Organizational Unit Name (eg, section) []:NEO
Common Name (eg, your name or your server's hostname) []:NEOTANG
Email Address []:neo@tang.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:root
An optional company name []:root
[root@Neo_Tang ssl]# ll
total 8
-rw-r--r--. 1 root root 1094 Sep 15 09:48 nginx.csr
-rw-------. 1 root root 1679 Sep 15 09:44 nginx.key

2.3 可靠方式把自签证书传输给CA服务器进行签署

[root@Neo_Tang ssl]# scp nginx.csr root@192.168.1.10:/home/
The authenticity of host '192.168.1.10 (192.168.1.10)' can't be established.
ECDSA key fingerprint is SHA256:jiD9xP+ayA5wt4WMwKiXa9eVX7JAZF3MopajfwqB/50.
ECDSA key fingerprint is MD5:81:14:e6:5f:27:83:a0:8b:c2:88:35:a3:5b:0d:ae:b3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.10' (ECDSA) to the list of known hosts.
root@192.168.1.10's password: 
nginx.csr                                                                                    100% 1094   833.9KB/s   00:00

2.4 CA服务器上进行Nginx传输的自签证书查看

[root@neo ~]# cd /home/
[root@neo home]# ll
total 4
-rw-r--r--. 1 root   root   1094 Sep 15 09:50 nginx.csr
drwx------. 2 user21 user21   62 Jul 13 21:40 user21
drwx------. 2 user22 user22   62 Jul 13 21:40 user22
drwx------. 2 user33 user33   62 Jul 13 21:40 user33

2.5 CA服务器上进行Nginx传输的自签证书签署

[root@neo CA]# openssl ca -in /home/nginx.csr -out /etc/pki/CA/certs/nginx.crt -days 365
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Sep 15 14:06:20 2019 GMT
            Not After : Sep 14 14:06:20 2020 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = BEIJING
            organizationName          = NEOTANG
            organizationalUnitName    = NEO
            commonName                = NEOTANG
            emailAddress              = neo@tang.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                A1:F3:83:BD:DB:1A:C9:9A:6C:A2:7D:CB:BB:19:C6:BD:7F:E8:5A:D1
            X509v3 Authority Key Identifier: 
                keyid:9A:FC:2D:15:80:74:46:1E:65:1B:96:68:81:97:55:A2:16:FD:0B:30

Certificate is to be certified until Sep 14 14:06:20 2020 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

2.6 CA服务器上进行签署证书的查看

[root@neo CA]# ll certs/        # 生成的签署证书,以本地签署证书记录是一致的
total 20
-rw-r--r--. 1 root root 4564 Sep 15 10:08 nginx.crt
[root@neo CA]# ll newcerts/    # 本地签署证书记录
total 8
-rw-r--r--. 1 root root 4564 Sep 15 10:08 01.pem

2.7 把签署的证书返回至Nginx服务器

[root@neo CA]# scp certs/nginx.crt root@192.168.1.11:/etc/nginx/ssl
The authenticity of host '192.168.1.11 (192.168.1.11)' can't be established.
ECDSA key fingerprint is SHA256:w3Z1C0VkdwuTmI4dHq9ueZoVz6d0plXnO/K+C9I3pts.
ECDSA key fingerprint is MD5:7b:fb:6d:81:82:f1:1d:51:99:81:ea:d8:c7:e1:a1:4e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.11' (ECDSA) to the list of known hosts.
root@192.168.1.11's password: 
nginx.crt

2.8 在Nginx服务器上进行查看

[root@Neo_Tang ssl]# ll
total 16
-rw-r--r--. 1 root root 4564 Sep 15 10:15 nginx.crt
-rw-r--r--. 1 root root 1094 Sep 15 09:48 nginx.csr
-rw-------. 1 root root 1679 Sep 15 09:44 nginx.key

3、Nginx 服务器的 ssl 配置

[root@Neo_Tang conf.d]# cat neo.conf 
server {
	listen 443 ssl;
	server_name localhost;
	root /data/nginx/neo/;
	index index.html;
	access_log /var/log/nginx/neo_ssl_access.log main;

	ssl on;
	ssl_certificate /etc/nginx/ssl/nginx.crt;
	ssl_certificate_key /etc/nginx/ssl/nginx.key;
	ssl_protocols SSLV3 TLSV1 TLSV1.1 TLSV1.2;
	ssl_session_cache shared:SSL:10m;            # 优化配置,可以缓存40000个会话的缓存

	location / {
		allow all;
	}
}

4、进行客户端访问

4.1 未在浏览器里进行证书导入时进行访问

在这里插入图片描述
在这里插入图片描述

4.2 在浏览器里进行证书导入

在这里插入图片描述

Lee木木
关注
专栏目录
centos7Nginx通过反向代理设置https配置多端口访问
weixin_43404791的博客
09-17 1542
Https server配置 96 # HTTPS server 97 98 server { 99 listen 80; 100 listen 443 ssl; 101 server_name www.lidengxxxx.top; 102 103 ssl_certificate cert/server.crt; 104 ssl_certificate_key cert/server.key; 105 106 ss
配置ssh免密登录报错:The authenticity of host ‘192.168.10.12 (192.168.10.12)‘ can‘t be established.
最新发布
weixin_63793386的博客
07-02 656
当你第一次从特定的设备尝试连接到远程服务器时,你的SSH客户端会检查远程主机的公钥指纹,以确保你没有被"中间人"攻击者重定向到一个伪造的服务器。这个信息告诉你,无法验证远程主机的真实性,因为它没有被你之前标记为可信的服务器列表中的指纹记录。然后再输入ssh-copy-id -i /root/.ssh/id_rsa root@192.168.10.12。验证时输入:ssh root@'192.168.10.12'如果不需要密码就代表成功啦!
Nginx 配置 SSL(HTTPS)详解
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
04-25 1万+
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
nginx ssl 配置说明
由入门到精通
11-19 800
Ssl_certificate :服务器公钥地址 Ssl_certificate_key :服务器私钥地址 Ssl_client_certificate : CA公钥地址 验证客户端证书是否是同一CA签发 Ssl_verify_client : on打开双向认证
Nginx服务器中关于SSL的安全配置详解
01-10
本文向你们展示如何在nginx的web服务器上设置更强的SSL。我们是通过使SSL无效来减弱CRIME攻击的这种方法实现。不使用在协议中易受攻击的SSLv3以及以下版本并且我们会设置一个更强的密码套件为了在可能的情况下能够实现Forward Secrecy,同时我们还启用HSTS和HPKP。这样我们就有了一个更强、不过时的SSL配置并且我们在Qually Labs SSL 测试中得到了A等级。 我们在nginx的设置文档中如下编辑 代码如下:/etc/nginx/sited-enabled/yoursite.com (On Ubuntu/Debian)或者在 代码如下:/etc/nginx
详解Nginx配置SSL证书实现Https访问
09-30
下面详细介绍如何配置Nginx以支持HTTPS,包括SSL证书的类型、配置过程、以及在不同服务器架构下的配置方式等。 首先,SSL证书分为三种类型:域名验证(DV)、组织验证(OV)和扩展验证(EV)证书。DV证书验证域名...
nginx配置ssl证书实现https访问的示例
09-30
Nginx配置SSL证书实现HTTPS访问】 在互联网中,HTTPS协议已经成为网站安全的基本标准,它通过SSL(Secure Socket Layer)或其更新版本TLS(Transport Layer Security)来加密通信,确保用户数据的安全传输。本...
Django nginx配置实现过程详解
12-17
5. 在Nginx配置中,为静态文件路径添加`alias`指令,指向收集后的静态文件目录。 6. 重启Nginx服务以应用新的配置:`nginx -s reload`。 对于HTTPS支持,可以申请免费SSL证书,并在`server`块中配置`ssl_...
自定义域名nginx配置ssl证书(超详细)
qq_51537506的博客
05-23 4649
购买国外域名免备案 申请证书 在nginx配置ssl详细讲解
Nginx 安装 SSL 配置 HTTPS 超详细完整全过程
Object的博客
03-14 866
Nginx 安装 SSL 配置 HTTPS 超详细完整全过程 转载:https://segmentfault.com/a/1190000022673232 转载理由:还可以
nginx配置ssl
weixin_45397225的博客
11-05 330
项目需求:现场项目需要配置https访问,故在此记录 1.环境 centos7,nginx,docker 2.操作步骤 docker环境部署不再赘述,已存在,nginx的docker-compose.yaml文件如下 version: '3.1' services: nginx: restart: always image: nginx container_name: nginx_docker ports: - "80:80" #http端口
nginx配置SSL
嘻嘻哈哈学技术
08-05 4959
一定要注意注意:打开云服务器安全组放行443端口服务器防火墙放行443端口修改配置文件之前先备份配置文件哦!
Nginx配置ssl证书
月明海沧
11-11 1674
1.下载证书 在ssl证书管理界面下载对应于Nginx的证书。 下载的Nginx证书压缩文件解压后包含: .pem:证书文件。PEM文件的扩展名为CRT格式。 .key:证书的密钥文件。申请证书时如果未选择自动创建CRS,则下载的证书文件压缩包中不会包含.key文件,需要您将自己手动常见的私钥文件拷贝到cert目录下。 2.更改nginx设置 在nginx安装目录下新建cert目录存储ngin...
Nginx入门(三)SSL配置
qq_41481367的博客
08-17 8849
SSL证书是一种数字证书,。它确保传输的数据保持安全,不能被未经授权的人拦截。SSL证书与HTTPS密切相关。HTTPS是一种安全的通信协议,通过使用SSL证书对网站进行加密,确保数据在传输过程中的安全性。而在上篇文章中,我们通过Nginx搭建静态网站并对网站绑定了域名后,我们通过。因此,要想保证网站数据传输的安全性,需要尽可能的使用HTTPS通信协议进行数据传输,而要做到这一点,就需要通过Nginx完成SSL证书的配置。当用户访问一个启用了HTTPS的网站时,浏览器会向服务器请求并接收SSL证书。
Nginx 配置 SSL证书
程序猿进阶
02-10 1万+
成功配置SSL证书后,您将能够通过HTTPS加密通道安全访问Nginx服务器。
nginx 配置相关详解
跟着飞哥学编程(全栈联盟)
10-18 5158
nginx是一个高性能的HTTP和反向代理服务器。是由塞索耶夫为俄罗斯访问量第二的Rambler.ur站点开发的,nginx是Apache服务不错的替代品。以#开头的一行为注释,只有单行注释。listen:该指令用于配置网络监听:该指令用于虚拟主机的配置,通常分为两种:基于域名的虚拟主机配置:servername name …;基于IP地址的虚拟主机的配置:server_name 192.168.1.129;location:用于匹配URLproxy_pass:用于设置被代理服务器的地址index。
Nginx + Tomcat 配置 SSL 实战指南
下面将详细讲解如何在Nginx和Tomcat中配置SSL以及通过Nginx反向代理到Tomcat。 1. 在Tomcat中配置SSL: - 首先,你需要生成一个SSL密钥对,这可以通过Java自带的`keytool`工具完成。在JDK的bin目录下执行以下命令...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值