HTTPS ( Hypertext Transfer Protocol Secure)超文本传输安全协议是 HTTP(超文本传输协议)、 SSL(Secure Sockets Layer)安全套接层和 TLS(Transport Layer Security)传输层安全的组合,用于提供加密通信和鉴定网络服务器的身份。
Nginx 服务器中的 ngx_http_ssl_module 模块用于提供 HTTPS 网站的配置。在学习阶段,Nginx 服务器若要获取数字证书,可以使用 OpenSSL 开源软件将自己作为 CA 为自己颁发证书。
颂发认证证书
OpenSSL 是一个非常强大的安全套接字层密码库,它包含了主要的密码算法,常用的密钥、证书封装管理以及 SSL 协议、证书签发等多种功能。其中, OpenSSL 程序是由 3 部分组成的,分别为 openssl 命令行工具 、libcrypto 公共加密库和 libssl 实现 SSL 协议 。 这里主要讲解 OpenSSL 命令实现的认证证书颁发功能。
# install openssl-devel
yum install -y openssl-devel
1. 生成服务器的RSA私钥.RSA 是 HTTPS 使用的一种算法,在配置 HTTPS 前,需要先为服务器生成私钥。
openssl genrsa -out server.key 2048
2. 生成服务器的 CSR 证书请求文件,CSR 证书谙求文件是服务器的公钥,用于提交给 CA 机构进行签名。
openssl req -new -key server.key -out server.csr
# 在上述命令中, req 表示证书签发申请,-new 表示新请求,-key server.key 指定私钥为server.key, -out server.csr 表示生成的 CSR 证书请求文件的名称为 server.csr。
3. CA 为服务器认证证书
[root@bj ssl]# openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=CN/ST=ShangHai/L=ShangHai/O=test/OU=IT/CN=www.test.com/emailAddress=test@qq.com
Getting Private key
# 上述指令用于使用 CA 的私钥 server.key 为服务器的 CSR 证书申请文件 server.csr 进行签名认证。其中, x509 是自签名证书格式, days 3650 用于设置签发证书的有效期为 3650 天。
参数 | 说明 |
genrsa | 表示用于生成 RSA 私钥 |
-out server.key | 表示输出的文件名为 server.key,文件所在目 录为执行当前 opens付令时所在目录 |
2048 | 密钥长度为 2048(推荐至少 2048,长度越长,安全性越强) |
参数 | 说明 |
Country Name (2 letter code) [XX]: | 符合 ISO 的 2 个字母的同家代码,如中国 CN |
State or Province Name (full name) []: | 省份,如填写 Beijing |
Locality Name (eg, city) [Default City]: | 城市,如填写 Beijing |
Organization Name (eg, company) [Default Company Ltd]: | 公司名称,如 ys |
Organizational Unit Name (eg, section) []: | 组织单位,如 IT |
Common Name (eg, your name or your server's hostname) []: | 使用 SSL 加密的网站域名,如 www. test. com |
Email Address []: | 邮件地址,可以省略 |
A challenge password []: | 有些 CA 机构需要此密码,通常省略即可 |
An optional company name []: | 可选的公司名称,可以省略 |
值得一提的是,在填写 common name 信息时,必须与实际使用 HTTPS 的网站域名吻合,否则会引发浏览器警报。
以上操作生成的文件, server. key 是服务器的私钥,而 server. csr 相当于公钥。利用公钥可以对数据进行加密,加密后只有用私钥才能解密。而私钥用于对数据进行数字签名,签名后的数据可以利用公钥进行验证 。 因此,用户应妥善保管私钥,一旦泄露或丢失将无法保证安全。
在 CA 利用私钥签名证书后,该证书将用于浏览器验证请求的网站是否真实,防止网络通信过程中被伪造。浏览器保存了受信任的 CA 机构的公钥,在请求 HTTPS 网站时,会利用 CA 公钥验证服务器的证书,并检查域名是否吻合、证书是否过期、证书是否已经被吊销等 。 由于当前的证书是服务器自己作为 CA 签名的,因此浏览器无法信任,会出现瞥告,但不影响学习和测试。
CA 的认证证书颁发完成后,在 Nginx 中添加 CRT 证书和服务器的私钥即可完成HTTPS 网站的配置 。在加密通信时,浏览器通过网站的证书可以获得服务器的公钥 ,然后利用公钥加密请求信息, Nginx 收到后再利用服务器私钥解开信息 。
浏览器在证书认证后, 会在请求信息中包含一个自动生成的高强度密钥(或称为随机数),服务器收到后会利用该密钥加密响应信息 。 由于证书认证和 RSA 非对称力|]密的过程复杂,为了提高效率,在证书认证后的 一 段时间内是直接利用这个密钥进行对称加密通信的 。