Nginx系列:https配置
有HTTP了,为什么需要HTTPS
主要原因是HTTP数据传输时没有对数据进行加密,所以导致数据不安全。而HTTPS在HTTP上加了一层,对数据进行加密,这样就保证了数据的安全性。防止传输的数据过程中被不法分子盗用、劫持、篡改,而导致数据信息的泄露。
HTTPS协议的实现
对传输内容进行加密以及身份验证
- 对称加密:加密秘钥和解密秘钥是一样的
- 非对称加密:加密密钥与解密密钥是不一样的,但是是成对的。
- HTTPS加密协议原理
中间人伪造客户端和服务端:(中间人可以伪装成客户端和服务端,中间人可以对数据进行劫持,不安全)
HTTPS的CA签名证书:(服务端和客户端通过实现约定好的证书进行认证,都会对证书进行校验,所以中间人没法劫持数据,故安全)
0x01:先验证Nginx安装情况
在【Nginx系列:Nginx源码安装】 文章中,知道安装Nginx时,必须首先安装openssl openssl-devel依赖 模块,而这两个模块就是HTTPS需要用户的类库;所以毫无疑问安装Nginx时,Linux系统肯定安装了这两个模块;
Nginx的https需要安装with-stream_ssl_preread_module目录,在nginx的源码目录执行以下命令,可以看出nginx默认并不会安装stream_ssl_preread_module模块的,需要重新编译安装一下
cat auto/options | grep YES | grep ssl
安装一下stream_ssl_preread_module模块
./configure --prefix=/usr/local/nginx --user=nginx
--group=nginx --with-http_secure_link_module
--with-http_stub_status_module --with-stream_ssl_preread_module
--with-http_ssl_modulemake
cd objs/
mv nginx /usr/local/nginx/sbin/
0x02:生成秘钥和CA证书
- 生成key秘钥
先进入Nginx的安装目录,然后生成一个目录,存放密钥和CA证书
cd /usr/local/nginx/conf/
mkdir httpsKeys
cd httpsKeys
先看下openssl命令的基本用法
基本语法:
openssl genrsa [args] [numbits]
说明:
args1 对生成的私钥文件是否要使用加密算法进行对称加密:
-des : CBC模式的DES加密
-des3 : CBC模式的3DES加密
-aes128 : CBC模式的AES128加密
-aes192 : CBC模式的AES192加密
-aes256 : CBC模式的AES256加密
args2 对称加密密码
-passout passwords
其中passwords为对称加密(des、3des、aes)的密码(使用这个参数就省去了console交互提示输入密码的环节)
args3 输出文件
-out file : 输出证书私钥文件
[numbits]: 密钥长度,理解为私钥长度
使用如下命令生成key秘钥
openssl genrsa -idea -out jesonc.key 2048
执行以上命令需要输入密钥key的密码,这里使用密码:admin,最终在当前目录生成一个jesonc.key的密钥文件。
- 生成证书签名请求文件(csr文件)
根据密钥文件jesonc.key生成证书签名请求文件jesonc.csr
openssl req -new -key jesonc.key -out jesonc.csr
执行命令的过程中需要根据提示输入一些相关的信息,最终会在当前目录生成jesonc.csr文件。
- 生成证书签名文件(CA文件)
生成证书签名文件(CA文件),有效期设置为10年,这个有效期根据自己的要求设置。
openssl x509 -req -days 3650 -in jesonc.csr
-signkey jesonc.key -out jesonc.crt
0x03:nginx配置https
Nginx配置HTTPS的基本语法如下
ssl开关:
配置语法:listen 443 ssl; # 1.1版本后这样写
ssl证书文件
配置语法:ssl_certificate file;
默认状态:-
配置方法:http、server
ssl密码文件
配置语法:ssl_certificate_key file;
默认状态:ssl off;
配置方法:http、server
在server模块添加如下配置
listen 443 ssl;
server_name localhost;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_certificate /usr/local/nginx/conf/httpsKeys/jesonc.crt; # 证书路径
ssl_certificate_key /usr/local/nginx/conf/httpsKeys/jesonc.key; # 请求认证 key 的路径
启动Nginx
启动Nginx时需要输入密码,这是因为生成证书签名请求文件(csr文件)在A challenge password时我输入了密码。这个密码可以不输入。
验证是否可以访问,虽然目前自签名的证书已经不能使用;但是nginx的HTTPS大致是这样配置的。
参考: https://www.cnblogs.com/crazymagic/p/11042333.html
- 【深度学习入门系列】TensorFlow训练线性回归
- 从老漏洞到新漏洞---iMessage 0day(CVE-2016-1843) 挖掘实录
- Wordpress <= 4.6.1 使用语言文件任意代码执行 漏洞分析
- 如何使用hadoop命令向CDH集群提交MapReduce作业
- Wordpress <= 4.6.1 使用主题文件触发存储型XSS 漏洞分析
- 如何跨平台在本地开发环境提交MapReduce作业到CDH集群
- 区块链行业的机会
- KEGG数据库的rest API(附带R语言小技巧)
- 如何使用Java代码访问HDFS.docx
- Django CSRF Bypass (CVE-2016-7401) 漏洞分析
- 如何使用Cloudera Manager禁用YARN的HA
- Web Worker 中的 importScripts 和 baseHref 同源策略绕过问题
- 如何使用Java代码访问CDH的Solr服务
- Safari UXSS漏洞分析(CVE-2016-4758)
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 如何优雅地写出大规模线性规划的对偶
- 数据库char varchar nchar nvarchar,编码Unicode,UTF8,GBK等,Sql语句中文前为什么加N(一次线上数据存储乱码排查)
- [Maven][maven-shade-plugin]告警[WARNING] maven-shade-plugin has detected that some class files are pre
- asp.net core 3.1多种身份验证方案,cookie和jwt混合认证授权
- 只知道java反射,宁知道内省吗?
- JDK1.8新特性(七):默认方法,真香,开动!接口?我要升级!!
- Windows10上安装Linux子系统(WSL2,Ubuntu),配合Windows Terminal使用,还要什么自行车
- [Maven][maven-site-plugin]告警[WARNING] No project URL defined - decoration links will not be relativi
- QListWidget添加删除
- 使用GitHub Actions编译项目并将Jar发布到Maven Central仓库
- 为啥Flutter Hooks没有受到太多关注和青睐?
- 二叉搜索树删除节点 动画演示
- 并发与竞态 (自旋锁)
- [Maven][taglist-maven-plugin]告警[WARNING] Using legacy tag format
- [Maven][l10n-maven-plugin]告警[WARNING] No dictionary file under folder