目录
一、什么是ssl证书
SSL证书是数字证书的一种,由权威数字证书机构(CA)验证网站身份后颁发,可实现浏览器和网站服务器数据传输加密。网站安装SSL证书后会在浏览器显示安全锁标志,数据传输协议从http(传统协议) 升级为 https(加密协议)。
1.1SSL概述
SSL(Security Socket Layer)是一个安全协议,为基于TCP(Transmission Control Protocol)的应用层协议提供安全连接,SSL介于TCP/IP协议栈第四层和第七层之间。主要提供私密性、完整性和身份验证;我们常见的就是 SSL为HTTP(Hypertext Transfer Protocol)协议提供安全连接。SSL协议是一种在两个机器之间提供安全通道的协议,它具有保护数据传输以及识别通信机器的功能。
1.2SSL证书
SSL证书是数字证书的一种。因为配置在服务器上,也称为SSL服务器证书。SSL证书由受信任的数字证书颁发机构颁发,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。
1.3HTTPS
HTTP over SSL 简写https,加密网页浏览是设计SSL的初衷,HTTP也是第一个使用SSL保障安全的应用层协议。
使用https://来标识HTTP over SSL,因此我常见的https的全称就是HTTP over SSL。后来HTTPS在RFC2818被标准化。HTTPS工作在443端口,而HTTP默认工作在80端口。
1.4SSL工作原理
- 浏览器发送一个https的请求给服务器;
- 服务器要有一套数字证书,可以自己制作,也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面,这套证书其实就是一对公钥和私钥;
- 服务器会把公钥传输给客户端;
- 客户端(浏览器)收到公钥后,会验证其是否合法有效,无效会有警告提醒,有效则会生成一串随机数,并用收到的公钥加密;
- 客户端把加密后的随机字符串传输给服务器;
- 服务器收到加密随机字符串后,先用私钥解密(公钥加密,私钥解密),获取到这一串随机数后,再用这串随机字符串加密传输的数据(该加密为对称加密,所谓对称加密,就是将数据和私钥也就是这个随机字符串通过某种算法混合在一起,这样除非知道私钥,否则无法获取数据内容);
- 服务器把加密后的数据传输给客户端;
- 客户端收到数据后,再用自己的私钥也就是那个随机字符串解密;
二、证书的作用
1.浏览器绿色安全标志
各大主流浏览器的重视,对没有安装SSL证书的网站提示“不安全”,安装了SSL证书的网站浏览器会显示绿色安全标志,表示连接安全。
2.网站数据加密传输
安装SSL证书之后,网站会从升级为 https(加密协议)。可加密保护网站的所有数据信息,保护访客注册登录,在线交易等信息数据,这对于电商、金融、政府、企业等网站至关重要。
小程序、抖音等平台对于合作的网址有相关的要求,即需要使用 https 链接。
3.安全标志获得访客信任
OV SSL证书可验证申请组织的真实身份,可在证书详情里查看申请企业。高级EV SSL证书还可在浏览器地址栏显示绿色企业名称,可加深访客对网站的信任,浏览使用更加放心。
4.强大的加密等级保障
SSL证书之所以能够进行数据加密,和它的2048位加密技术是分不开的,时刻保护这敏感数据不被窃取、泄露。 满足“等保”等相关政策对网站的安全要求。
OV 和 EV 证书除了安全加密之外,其实还有对网站管理者身份的验证,这个验证会体现在 SSL证书的字段中。而 EV 级别的 SSL证书甚至可以在某些版本的浏览器中直接显示单位名称。这一定程度帮助网站运营者确定了其“官方身份”,有助于帮助其用户识别真假网站。
5.SSL证书帮助网站保护了用户和网站之间的任何数据的安全
最重要的一点,SSL证书帮助网站保护了用户和网站之间的任何数据的安全。如果没有SSL证书,用户在网站上的任何信息交互都将处于明文传输的状态,这其实上非常可怕的。也正因为如此,作为展示网站的浏览器,在推动SSL证书的普及上非常积极,甚至对没有SSL证书的网站在打开的时候进行了安全拦
三、HTTPS注意事项
- https仅支持二级域名
- https不支持续费,证书到期重新申请替换
- https显示绿色,说明整个网站都是https的
- https显示黄色,网站代码中包含https不安全链接
- https显示红色,证书不认或过期
四、创建SSL证书
试验环境:CentOS 7.6 Nginx 1.15 关闭防火墙、核心防护
1.程序安装
检查是否安装openssl程序
yum install -y openssl
2.创建一个存放证书的文件并到目录下
mkdir -p /etc/nginx/ssl_key
cd /etc/nginx/ssl_key/
证书颁发机构,创建私钥
3.生成证书,去掉私钥的密码
openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crtreq 表示证书输出的请求
-days 3650 时间=10 年
-x509 签发x509格式证书命令
-newkey 此选项创建一个新的证书请求和一个新的私钥。 该参数采用以下几种形式之 一。 rsa:nbits (其中nbits是位数)会生成nbits大小的RSA密钥
-key密钥
-new表示新的请求
-out输出路径
五、配置ssl模块
1、到nginx安装目录下添加ssl模块
cd /opt/nginx-1.15.9/
./configure --prefix=/usr/local/nginx --add-module=/usr/local/nginx-module-vts-master/ --prefix=/usr/local/nginx --with-http_ssl_module
2、编译安装
注意:这里切记千万不要执行make install 否则就把原来安装的Nginx所有文件都覆盖掉了
关闭服务
然后用源码包中刚刚编译好的的Nginx把安装目录中的Nginx替换掉
systemctl stop nginx
cp ./objs/nginx /usr/local/nginx/sbin/
3、编辑配置文件
vim /usr/local/nginx/conf/nginx.conf
server {
listen 443 ssl;
server_name www.yzy.com;
charset utf-8;
access_log /var/log/nginx/nginx.log;
ssl_certificate /etc/nginx/ssl_key/server.crt;
ssl_certificate_key /etc/nginx/ssl_key/server.key;
location / {
root /https-yzy;
index index.html;
}
}
创建网页文档,配置nginx时指向这这个文档路径
cd /
mkdir https-yzy
echo "<h1>this is https yzy</h1>" > /https-yzy/index.html
添加跳转
浏览器访问
扫一扫
2068
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
