nginx https

HTTPS ( Hypertext Transfer Protocol Secure)超文本传输安全协议是 HTTP(超文本传输协议)、 SSL(Secure Sockets Layer)安全套接层和 TLS(Transport Layer Security)传输层安全的组合，用于提供加密通信和鉴定网络服务器的身份。

Nginx 服务器中的 ngx_http_ssl_module 模块用于提供 HTTPS 网站的配置。在学习阶段，Nginx 服务器若要获取数字证书，可以使用 OpenSSL 开源软件将自己作为 CA 为自己颁发证书。

颂发认证证书

OpenSSL 是一个非常强大的安全套接字层密码库，它包含了主要的密码算法，常用的密钥、证书封装管理以及 SSL 协议、证书签发等多种功能。其中， OpenSSL 程序是由 3 部分组成的，分别为 openssl 命令行工具 、libcrypto 公共加密库和 libssl 实现 SSL 协议 。 这里主要讲解 OpenSSL 命令实现的认证证书颁发功能。

# install openssl-devel
yum install -y openssl-devel


1. 生成服务器的RSA私钥.RSA 是 HTTPS 使用的一种算法，在配置 HTTPS 前，需要先为服务器生成私钥。
openssl genrsa -out server.key 2048


2. 生成服务器的 CSR 证书请求文件,CSR 证书谙求文件是服务器的公钥，用于提交给 CA 机构进行签名。
openssl req -new -key server.key -out server.csr

# 在上述命令中， req 表示证书签发申请，-new 表示新请求，-key server.key 指定私钥为server.key, -out server.csr 表示生成的 CSR 证书请求文件的名称为 server.csr。

3. CA 为服务器认证证书
[root@bj ssl]# openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt

Signature ok
subject=/C=CN/ST=ShangHai/L=ShangHai/O=test/OU=IT/CN=www.test.com/emailAddress=test@qq.com
Getting Private key

# 上述指令用于使用 CA 的私钥 server.key 为服务器的 CSR 证书申请文件 server.csr 进行签名认证。其中， x509 是自签名证书格式， days 3650 用于设置签发证书的有效期为 3650 天。

openssl 生成 RSA 私钥参数含义

参数	说明
genrsa	表示用于生成 RSA 私钥
-out server.key	表示输出的文件名为 server.key，文件所在目 录为执行当前 opens付令时所在目录
2048	密钥长度为 2048(推荐至少 2048，长度越长，安全性越强)

openssl 生成 CSR 参数含义

参数	说明
Country Name (2 letter code) [XX]:	符合 ISO 的 2 个字母的同家代码，如中国 CN
State or Province Name (full name) []:	省份，如填写 Beijing
Locality Name (eg, city) [Default City]:	城市，如填写 Beijing
Organization Name (eg, company) [Default Company Ltd]:	公司名称，如 ys
Organizational Unit Name (eg, section) []:	组织单位，如 IT
Common Name (eg, your name or your server's hostname) []:	使用 SSL 加密的网站域名，如 www. test. com
Email Address []:	邮件地址，可以省略
A challenge password []:	有些 CA 机构需要此密码，通常省略即可
An optional company name []:	可选的公司名称，可以省略

值得一提的是，在填写 common name 信息时，必须与实际使用 HTTPS 的网站域名吻合，否则会引发浏览器警报。

以上操作生成的文件， server. key 是服务器的私钥，而 server. csr 相当于公钥。利用公钥可以对数据进行加密，加密后只有用私钥才能解密。而私钥用于对数据进行数字签名，签名后的数据可以利用公钥进行验证 。 因此，用户应妥善保管私钥，一旦泄露或丢失将无法保证安全。

 

在 CA 利用私钥签名证书后，该证书将用于浏览器验证请求的网站是否真实，防止网络通信过程中被伪造。浏览器保存了受信任的 CA 机构的公钥，在请求 HTTPS 网站时，会利用 CA 公钥验证服务器的证书，并检查域名是否吻合、证书是否过期、证书是否已经被吊销等 。 由于当前的证书是服务器自己作为 CA 签名的，因此浏览器无法信任，会出现瞥告，但不影响学习和测试。

CA 的认证证书颁发完成后，在 Nginx 中添加 CRT 证书和服务器的私钥即可完成HTTPS 网站的配置 。在加密通信时，浏览器通过网站的证书可以获得服务器的公钥 ，然后利用公钥加密请求信息， Nginx 收到后再利用服务器私钥解开信息 。

浏览器在证书认证后， 会在请求信息中包含一个自动生成的高强度密钥(或称为随机数)，服务器收到后会利用该密钥加密响应信息 。 由于证书认证和 RSA 非对称力|]密的过程复杂，为了提高效率，在证书认证后的 一 段时间内是直接利用这个密钥进行对称加密通信的 。