局域网搭建SSL,使用HTTPS服务教程

已于 2023-02-09 11:19:03 修改
阅读量4.9k 收藏 12
点赞数 1
分类专栏: demo 文章标签: ssl https 网络协议 springboot 安全
于 2023-02-08 17:48:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45565886/article/details/128937890
版权

局域网搭建SSL,使用HTTPS服务教程

1 相关证书文件格式

1.1 .csr(证书请求文件)

.csr 是证书请求文件(certificate signing request),是由 RFC 2986定义的PKCS10格式,包含部分/全部的请求证书的信息,比如,主题, 机构,国家等,并且包含了请求证书的公玥,这些被CA中心签名后返回一张证书。返回的证书是公钥证书(只包含公玥不含私钥)

1.2 .pem(容器格式,证书的加密格式)

.pem 是一种容器格式,可能仅包含公钥证书,也可以包含完整的证书链(包括公玥,私钥,和根证书)。也可能用来编码 CSR文件。

1.3 .key(私钥文件,私钥的加密格式)

.key 其实就是一个pem格式只包含私玥的文件,.key 作为文件名只是作为一个明显的别名。

pem和key 这两种格式 分别存储的是证书base64加密和私钥base64加密还有格式分割符,也就是说pem存的是证书,key 存的是私钥

1.4 .pkcs12 .pfx .p12(公私钥、证书)

pkcs即 RSA定义的 公玥密码学( Public-Key Cryptography Standards)标准,有多个标准 pkcs12只是其一,是描述个人信息交换语法标准。 有的文件直接使用其作为文件后缀名。这种文件包含公钥和私钥证书对,跟pem文件不同的是,它的内容是完全加密的。 用openssl可以把其转换成包含公玥和私玥的 .pem 文件。命令: openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes

1.5 .der(一种编码方案)

其实der不是一种文件格式。der 是ASN.1 众多编码方案中的一个,使用der编码方案编码的pem文件。der 编码是使用二进制编码,一般pem文件使用的是base64进行编码,所以完全可以把der编码的文件转换成pem文件,命令: openssl x509 -inform der -in to-convert.der -out converted.pem 使用der编码的pem文件,后缀名可以为.der,也可以为以下格式:

1.6 .cert .cer .crt(证书)

pem或者der编码格式的证书文件,这些文件后缀名都会被windows 资源管理器认为是证书文件。有趣的是, .pem 反而不会被认为是证书文件。

1.7 .crl(证书吊销列表)

certificate revocation list,证书吊销列表

在这里插入图片描述

2 实战(SpringBoot+tomcat)

2.1 创建证书

jdk自带的keytool可以帮助我们生成证书

  1. win+R输入cmd打开命令行
keytool -genkey -alias tomcat -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore keyword.p12 -validity 3650

输入密码(密码是隐藏的,直接输入即可),剩下的可以不输,直接全部回车,执行完之后会在当前文件夹内生成一个keyword.p12的文件
在这里插入图片描述

2.2 拷贝证书到项目,并配置

  1. 拷贝证书到resources目录下
    在这里插入图片描述
  2. 在pom.xml中进行配置

放到<build>标签下

<resources>
    <resource>
        <directory>src/main/resources</directory>
        <filtering>true</filtering>
        <excludes>
            <exclude>**/*.p12</exclude>
        </excludes>
    </resource>
    <resource>
        <directory>src/main/resources</directory>
        <filtering>false</filtering>
        <includes>
            <include>**/*.p12</include>
        </includes>
    </resource>
</resources>
  1. 配置application.properties
#SSL
server.ssl.key-store=classpath:keyword.p12
server.ssl.key-store-password=cmd窗口时设置的密钥库口令
server.ssl.keyStoreType=PKCS12
server.ssl.keyAlias=tomcat

2.3 添加配置类,重定向将http转为https

  1. 在application.properties中添加配置
http.port=8080
server.port=8090

在这里插入图片描述
2. 添加配置类

@Configuration
public class HttpToHttpsConfig extends WebMvcConfigurerAdapter {
    @Value("${server.port}")
    private int serverPort;

    @Value("${http.port}")
    private int serverHttpPort;

    /**
     * 解决跨域问题
     * @param registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                // 设置允许跨域请求的域名
//                .allowedOrigins("*")    // 注意此处,当allowCredentials为ture时候,此处不能有*
                .allowedOriginPatterns("/**")
                //是否允许证书
                .allowCredentials(true)
                .allowedOrigins("*")
                .allowedMethods("GET", "POST", "OPTIONS", "PUT")
                .allowedHeaders("Content-Type", "X-Requested-With", "accept", "Origin", "Access-Control-Request-Method",
                        "Access-Control-Request-Headers","accessToken")
                .exposedHeaders("Access-Control-Allow-Origin", "Access-Control-Allow-Credentials")
                .maxAge(3600);
    }

    @Bean
    public ServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory () {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };

        tomcat.addAdditionalTomcatConnectors(initiateHttpConnector());
        return tomcat;
    }

    private Connector initiateHttpConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setScheme("http");
        //需要重定向的http端口
        connector.setPort(serverHttpPort);
        connector.setSecure(false);
        //设置重定向到https端口
        connector.setRedirectPort(serverPort);
        return connector;
    }
}

2.4 测试效果

  1. 编写一个简单的controller
@RestController
public class TestController {

    @GetMapping("/test")
    public String testHttps(){
        return "success...";
    }
}
  1. 浏览器输入url,回车,查看结果
http://localhost:8080/test

在这里插入图片描述

3 Nginx搭建https服务(linux)

3.1 安装Nginx

搭建nginx之前,我们需要先让linux服务器上有nginx

# 查看当前电脑上是否有nginx
find / -name "nginx"

如果没有,可通过以下步骤来安装nginx:

nginx安装的时候不指定安装目录,会默认安装到/usr/local/nginx下

  1. 安装所需依赖
yum -y install gcc zlib zlib-devel pcre-devel openssl openssl-devel
  1. 下载nginx
mkdir /temp
cd /tmp/
wget http://nginx.org/download/nginx-1.13.7.tar.gz
  1. 解压nginx
tar -xvf nginx-1.13.7.tar.gz
  1. 创建目标文件夹
mkdir -p /usr/zi/nginx
  1. 进入压缩包所在路径,并指定编译路径
cd /tmp/nginx-1.13.7

./configure --prefix=/usr/zi/nginx

make && make install

此时在/usr/zi/nginx下将会生成conf、sbin等文件夹

  1. 指定配置文件
/usr/zi/nginx/sbin/nginx -c /usr/zi/nginx/conf/nginx.conf
  1. 关闭防火墙
systemctl stop firewalld

# 关闭防火墙开机自启动
systemctl disable firewalld
  1. 启动nginx
/usr/zi/nginx/sbin/nginx -s reload

如果出现:nginx: [error] invalid PID number “” in “/usr/zi/nginx/logs/nginx.pid”,指定配置文件路径,然后重启nginx

# 指定nginx配置文件路径
/usr/zi/nginx/sbin/nginx -c /usr/zi/nginx/conf/nginx.conf
 
# 重启nginx
./nginx -s reload
  1. 在浏览器直接输入自己的ip,回车,出现Welcome to nginx!则表示nginx运行成功

3.2 nginx添加SSL模块

在添加模块之前,首先查看nginx是否有SSL模块

# 进入nginx的sbin目录(根据自己的位置,修改路径)
cd /usr/zi/nginx/sbin

# 查看是否有ssL模块【注意,是大写的V,小写的是显示版本号】
./nginx -V

如果出现 (configure arguments: --with-http_ssl_module), 则已安装,否则需要执行下面命令安装SSL

在这里插入图片描述

可以看到,当前我的nginx是不存在SSL模块的,下面我将安装SSL模块。
①进入nginx源码所在位置(nginx解压缩的目录),我的是在/tmp/nginx-1.13.7

./configure --prefix=/usr/zi/nginx --with-http_stub_status_module --with-http_ssl_module

②执行make,重新,切记不要执行make install,否则会重新安装

make

执行结束后,在nginx的解压缩目录(我的是在/temp/nginx-1.13.7)将会出现objs文件夹,文件夹内存在nginx文件

在这里插入图片描述

在这里插入图片描述

③替换sbin目录

接下来使用新的nginx文件替换掉之前安装目录sbin下的nginx,注意这里的替换的时候可以先将之前的文件备份下,停掉nginx服务

# 进入nginx的sbin目录
cd /usr/zi/nginx/nginx

# 停止服务
./nginx -s stop

# 替换sbin目录
cp /temp/nginx-1.13.7/objs/nginx /usr/zi/nginx/sbin

④进入nginx安装目录,查看结果

cd /usr/zi/nginx/sbin

#注意这里是大写的V,小写的只显示版本号
./nginx -V  
#出现了configure arguments: --with-http_ssl_module 证明已经安装成功

在这里插入图片描述

3.3 给nginx配置SSL证书

①创建证书,并上传
  • 拥有ssl证书,没有的可以去阿里购买或者免费申请一年【这里是内网环境,因此我们可以本地生成证书】
  • 解压缩下载好的证书(证书一般是pem文件和key文件,这里名字可以随便改)
  • 将下载好的证书上上传到服务器,我将证书放在了root目录下的card文件夹

jdk中内置了一个keytool

JDK里面内置了一个数字证书生产工具:keytool。但是这个工具只能生成自签名的数字证书。所谓自签名就是指证书只能保证自己是完整的,没有经过非法修改的。但是无法保证这个证书是属于谁的(一句话:keytool没办法签发证书,而openssl能够进行签发和证书链的管理)

我们可以在本地下载一个openssl工具:下载地址
在这里插入图片描述
下载完之后,进入安装目录的bin路径,便可以使用,当然也可以配置好环境变量,更方便。

②配置nginx的conf文件

参考文章:
https://blog.csdn.net/jasstool/article/details/98627062
https://blog.csdn.net/HD243608836/article/details/127441701
https://blog.csdn.net/xkdlzy/article/details/113380587
https://www.cnblogs.com/ambition26/p/14077773.html

NPE~
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows机器配置自签名ssl证书,部署文件服务
weixin_42551921的博客
06-21 1350
下载nginx: nginx1.22下载openssl: opnessl如果无法下载,点这里下载1、解压nginx压缩包到指定位置,进入文件夹,打开命令行窗口:执行命令 查看nginx版本信息; 如果有显示-with-http_ssl_module表示已编译openssl,支持安装ssl.2、打开配置文件ngix.conf文件;修改成如下配置: 进入nginx文件夹,打开命令行窗口,执行启动命令: 访问本地ip查看是否成功显示文件目录;3、修改nginx.conf文件后,可以使用命令: 重启服务; 如果需
局域网内多台机器使用自签发证书架设https网站二:实施
热门推荐
左直拳的马桶_日用桶
08-05 1万+
前文再续,书接上一回。上一篇文章说了局域网内多台机器使用自签发证书架设https网站的原理,现在接着介绍实现方法和步骤: 1、以一台机器作为根证书服务器(其实就是CA了),负责生成根证书 2、所有网站的证书,都由这张根证书来签发 3、访问所有网站的客户端,都导入这张根证书到自己的“受信任的根证书颁发机构”里 一、生成根证书 生成根证书应该有许多种: 1、如果操作系统是server,...
内网怎么使用https
未兆的博客
05-20 2886
内网环境下面需要用到https,通过浏览器调起相机的功能。 一般情况下我们使用openssl证书生成即可。有个问题是生成的证书。通过nginx配置以后。在客户端谷歌浏览器chrome访问的时候会有个不安全的提示。 这里使用mkcert进行处理。具体的操作可以访问mkcert 源码地址 或者参考这篇博文处理 把server.crt的证书装到 需要用的客户端上面即可。 还可以做个临时页面,打开的时候提示下载安装,这样就不用分发了。 如果是有域名公网环境下,可以去阿里云申请免费的ssl证书,有20个日常使用是够了
Nginx内网环境开启https双协议
最新发布
Mr_Wanter
05-13 783
nginx内网环境配置https
局域网安全https协议解决方案
u010721688的博客
01-30 2424
我们在有域名、有公网ip的情况下通常直接在域名管理中可以申请ssl证书,利用nginx可以做到安全https协议,有时候我们需要将局域网内的服务地址也要做成https协议,如果直接利用nginx转发443端口,访问时会告警,提示不安全的地址,需要手动点一下才能进入网站,非常不方便。
局域网https安全证书解决方案mkcert
wangyun381974024的博客
10-17 5378
https安全证书解决方案mkcert
【计算机网络】HTTPS协议详解
weixin_67596609的博客
10-05 5050
HTTPS协议是对HTTP协议的一种扩展,它在HTTP的基础上加入了SSL/TLS协议进行数据加密和认证。这使得通过HTTPS传输的数据更加安全可靠通过使用HTTPS协议,数据在传输过程中得到了保护,有效防止了恶意攻击者窃听、篡改或伪造数据。这使得HTTPS成为保护网站安全和用户隐私的重要工具。首先什么是加密?加密的过程是什么?怎么将数据就保护起来了?后文会一一进行详细解释的。数据摘要(也称为数字指纹)是指通过一种算法将任意长度的数据转换成固定长度的二进制字符串。
2022-20 | HTTP升级HTTPS | SSL证书配置
weixin_41379244的博客
05-19 484
什么是SSL证书 关于SSL证书,推荐大家阅读下面两篇好文: 彻底搞懂HTTPS的加密原理 免费的SSL证书和收费的证书有什么区别? 简单讲,配置SSL证书的好处: 使用HTTPS协议通信,数据传输更安全 浏览网页的时候地址栏左侧会有一把小锁🔒 一些Web API和HTTP特性只有配置SSL证书才支持,比如SameSite、window.showSaveFilePicker() 如果获取证书 阿里云对我们非常友好,注册阿里云的用户可以申请免费DV级别SSL证书证书只允许绑定单域名,单个证书
IIS部署SSL证书
xwnxwn的专栏
11-16 1292
在控制台左侧导航栏,展开控制台根节点 > 证书(本地计算机),然后将光标放置在个人上并打开右键菜单,选择所有任务 > 导入。私钥保护:打开TXT格式的私钥文件,复制文件内容,并将内容粘贴在密码文本框,单击下一步。在添加或删除管理单元对话框,从左侧可用的管理单元列表中选择证书,单击添加。在选择计算机对话框,选择本地计算机(运行此控制台的计算机),单击完成。要导入的文件对话框:单击浏览,打开PFX格式的证书文件,单击下一步。在证书管理单元对话框,选择计算机账户,单击下一步。根据对话框提示,完成证书导入向导。
局域网快速搭建FTP服务器.docx
12-07
局域网快速搭建FTP服务器 FTP(File Transfer Protocol,文件传输协议)是一种常用的文件传输协议,允许用户在网络上进行文件传输和共享。在局域网搭建FTP服务器可以方便地共享文件和资源,但需要正确地配置和...
SVN服务器配置+SVN局域网搭建+系列工具
09-18
apache_2.2.2-win32-x86-no_ssl.msi Setup-Subversion-1.6.6.msi TortoiseSVN-1.6.12.20536-win32-svn-1.6.15.msi SVN与Apache服务器的安装配置.doc 配套的安装程序和说明,我自己也是用这一套工具搭建的SVN
nexus服务搭建的详细步骤
01-11
一、搭建nexus服务的意义 作为内网的统一代理,团队合作开发时不用每人都去外网下载一次; 解决部分变态公司内网管制无法访问外网的问题,选一台有外网权限的机器搭建服务器,其余人直接内网访问此服务; 团队...
如何快速搭建FTP服务器的图文教程方法.docx
12-25
FTP服务搭建教程 FTP(File Transfer Protocol)是一种在TCP/IP网络上两台计算机传送文件的协议,使得主机间可以共享文件。本文档提供了一个快速搭建FTP服务器的图文教程,旨在帮助需要的人快速搭建FTP服务器。 ...
SVN局域网搭建套餐
09-18
资源包下的工具和说明 apache_2.2.2-win32-x86-no_ssl.msi Setup-Subversion-1.6.6.msi TortoiseSVN-1.6.12.20536-win32-svn-1.6.15.msi SVN与Apache服务器的安装配置.doc
内网ip实现https协议
Chao_nengli的博客
02-27 1412
用户是内网环境并且对产品有一定的要求,最终想要内网实现https协议。前后端都需要操作,并且操作之前需要将用到的内容准备好,这里分为前后端角度进行准备。
局域网ssl证书的优势以及申请的基本步骤
蔚可云的博客
06-25 1498
ssl证书是一种数字证书,也是安全证书,可以更好的去保护网站信息安全,法师当中当中重要的信息被盗用。因此,如今很多企业为了提高网站安全防护,就会去申请局域网ssl证书。但是,申请该证书的时候需要将以下这两个基本的问题了解清楚。 问题一、局域网ssl证书的优势:了解了这种证书的优势,企业就愿意去申请该证书。 优势一、让网站的支付更加安全:网络给生活带来了极大的便利,不仅让大家了解信息比较轻松,还可以改变购物渠道,直接通过网络购物就可以了。不过,网络购物的时候需要在网上支付,此时就需要登录自己的银行卡号
局域网搭建https 安全证书
weixin_43929696的博客
01-17 1927
重启nginx之后即可,不过链接会提醒不安全以及标红,这个暂时无法解决,牵扯到操作系统底层的东西,因为底层都是国外的,而安全证书的根证书目前操作系统只认国外的几个公司,因此局域网安全证书暂时无法解决。本地录屏功能要求必须使用https访问,导致本来是内网的应用,必须使用https访问,无奈。然后将刚刚编译好的nginx覆盖掉原有的nginx(这个时候nginx要停止状态)因此使用最简单的https ca安全证书搭建,记录如下。密码我使用的最简单的 1234。运行上面的命令即可,等配置完。
本地局域网HTTPS解决方案 CA证书
aaddda123的博客
09-01 1627
本地局域网HTTPS访问web站点解决方案windows平台安装mkcertlinux平台安装mkcert使用证书 windows平台安装mkcert 安装choco powershell管理员安装 Set-ExecutionPolicy Bypass -Scope Process -Force; [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol
如何在服务器部署https服务
ddwddw4的博客
11-22 5841
因为微信小程序的接口必须使用https的协议,为了使小程序能正常上线,所以研究了下服务器的https部署。(PS:已经是半年多前的事情了,为了防止遗忘,还是稍微做笔记回顾下) 首先我自己买的是腾讯的服务器,并且在腾讯云申请的证书,当然你也可以买别的服务器。下面只介绍腾讯云的示例: 首先腾讯云申请证书,免费的https://console.cloud.tencent.com/ssl, ...
局域网使用SSL可以不用CA吗
06-10
可以使用自签名证书(Self-signed certificate),这是一种不需要第三方证书颁发机构(CA)签名的证书。自签名证书可以用于内部测试和开发环境,但不建议在生产环境中使用,因为它可能会被浏览器认为是不受信任的证书,从而导致安全警告。 自签名证书的生成方法通常如下: 1. 使用 OpenSSL 等工具生成私钥和自签名证书。 2. 将自签名证书导入到浏览器的受信任根证书颁发机构列表中。 3. 在服务器上配置 SSL/TLS,并指定使用自签名证书。 需要注意的是,自签名证书安全性和可信度较低,因此在生产环境中建议使用受信任的第三方证书颁发机构(CA)签名的证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值