首页
所有分类
TAGS
文字工具 EMOJI BIBLE
服务器 Servers

Nginx配置https原理及实现过程详解

Posted in Servers onMarch 31, 2021

使用linux实用工具certbot来生成https证书

这个工具是生成Let's Encrypt证书,

Let's Encrypt数字证书认证机构,Let's Encrypt 是由互联网安全研究小组(ISRG,一个公益组织)提供的服务

提供免费的SSL/TLS证书

2015年12月3日,该服务进入公测阶段,正式面向公众。

2016年4月12日,该项目正式离开Beta阶段。

到2016年9月9日,Let's Encrypt 已经发放 1000 万张证书。

因此对于大部分中小型网站来说,是一个值得考虑的选择。

https配置的步骤

1打开 https://certbot.eff.org/ 选择对应操作系统与 Web 服务器

这里我选择nginx服务器,CentOS7服务器上

2执行命令,并根据需要修改相应域名参数。

certbot要通过yum安装,certbot被打包到epel源中,

所以安装启动epel库,安装epel源查看链接

https://fedoraproject.org/wiki/EPEL#How_can_I_use_these_extra_packages.3F

启动epel源,可以使用手动自己启动epel,也可以借助yum-config-manager命令来启动

安装yum-config-manager

yum -y install yum-utils

启动epel

yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

3安装certbot

sudo yum install certbot python2-certbot-nginx

获取证书的两种方式:身份验证器和安装程序

使用webRoot插件进行安装,这个要求你的服务器80端口能够正常被访问到(这个域名是属于你的)

webRoot插件通过certonly和--webroot(或者-w)在命令行上执行命令

certbot certonly -w /var/www/example -d www.example.com

certbot certonly -w 可以被http访问到的webroot目录 -d 要配置https的域名名称

上面的 /var/www/example表示的是在nginx配置文件中root根节点所指向的根路径

webroot插件的工作原理是为每个请求的域创建一个临时文件${webroot-path}/.well-known/acme-challenge。

然后,Let的加密验证服务器发出HTTP请求,以验证每个请求的域的DNS是否解析为运行certbot的服务器。

访问请求如下

66.133.109.36 - - [05/Jan/2016:20:11:24 -0500] "GET /.well-known/acme-challenge/HGr8U1IeTW4kY_Z6UIyaakzOkyQgPr_7ArlLgtZE8SX HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

所以我们服务器需要放通.well-known/acme-challenge这个访问路径

例如,

server
  {
    listen 80;
    server_name www.example.com; 
    index index.html ;
    root /var/www/example;
  
    。。。
  
    location ~ /.well-known {
      allow all;
    }
  }

具体的http配置文件

server
  {
    listen 80;
    server_name www.example.com; 
    index index.html ;
    root /var/www/www.example.com;


    location / {
      proxy_redirect off;
      proxy_pass http://localhost:8080;
      proxy_set_header Host $host;
      proxy_set_header  X-real-ip $remote_addr;
      proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    #error_page  404  /404.html;

    location /nginx_status
    {
      #stub_status on;
      #access_log  off;
    }

    location ~ /.well-known {
      allow all;
    }

    location ~ /\.
    {
      deny all;
    }
access_log /data/log/nginx//var/www/www.example.com/-access.log;
    error_log /data/log/nginx//var/www/www.example.com/-error.log;
}

执行完命令后,https证书就会生成在/etc/letsencrypt/live目录下

certbot certonly -w /var/www/example -d www.example.com

比如上面的命令会生成证书/etc/letsencrypt/live/www.example.com/fullchain.pem

生成证书密钥文件/etc/letsencrypt/live/www.example.com/privkey.pem

然后我们只需要为该域名加上https配置,我们nginx就配置完成https

https对应443端口

具体https配置文件

server
  {
    listen 443 ssl http2;
    #listen [::]:443 ssl http2;
    server_name www.example.com;
    index index.html index.htm index.php default.html default.htm default.php;
    root /var/www/www.example.com/;
    
    ssl on;
    ssl_certificate /etc/letsencrypt/live/www.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.example.com/privkey.pem;
    
   location / {
      proxy_redirect off;
      proxy_pass http://localhost:8080;
      proxy_set_header Host $host;
      proxy_set_header  X-real-ip $remote_addr;
      proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    #error_page  404  /404.html;

    include enable-php-pathinfo.conf;

    location ~ /.well-known {
      allow all;
    }

    location ~ /\.
    {
      deny all;
    }

    access_log /data/log/nginx/www.example.com-ssl-access.log;
    error_log /data/log/nginx/www.example.com-ssl-error.logs;  
}

查看生产的证书

tree /etc/letsencrypt/live/

证书续签

Let's Encrypt 生成的免费证书为3个月时间,但是我们可以无限次续签证书

certbot renew

使用定时器来自动重新生成证书

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew

centos6使用

1获取certbot客户端

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

2停止nginx

service nginx stop

3生成证书

./certbot-auto certonly --standalone --email `你的邮箱地址` -d `你的域名地址`

当前网站有多个域名时需在后面增加,例如

./certbot-auto certonly --standalone --email `你的邮箱地址` -d `你的域名1` -d `你的域名2`

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Nginx配置https原理及实现过程详解

- Author -

海绵般汲取

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Servers 相关文章推荐
nginx常用命令放入shell脚本详解
Mar 31 Servers
Nginx中break与last的区别详析
Mar 31 Servers
Nginx配置SSL证书出错解决方案
Mar 31 Servers
nginx配置proxy_pass中url末尾带/与不带/的区别详解
Mar 31 Servers
Nginx如何配置Http、Https、WS、WSS的方法步骤
May 11 Servers
详解使用内网穿透工具Ngrok代理本地服务
Mar 31 Servers
Windows和Linux上部署Golang并运行程序
Apr 22 Servers
Windows Server 2019 安装DHCP服务及相关配置
Apr 28 Servers
Nginx的gzip相关介绍
May 11 Servers
在容器中使用nginx搭建上传下载服务器
May 11 Servers
使用Nginx+Tomcat实现负载均衡的全过程
May 30 Servers
ubuntu端向日葵键盘输入卡顿问题及解决
Dec 24 Servers
如何在centos上使用yum安装rabbitmq-server
Mar 31 #Servers
Windows下使用Nginx+Tomcat做负载均衡的完整步骤
阿里云Nginx配置https实现域名访问项目(图文教程)
详解Nginx 工作原理
fastdfs+nginx集群搭建的实现
Nginx域名转发https访问的实现
Mar 31 #Servers
Nginx本地目录映射实现代码实例
Mar 31 #Servers
根德(2) Panasonic(1) 德生PL330(2) SRF-S84(1) 德生9700DX(1) 松下(1) 德劲1103(3) SRF-S83(1) ICF-SW7600GR(1) ICF-SW55(1)
You might like
php使用pdo连接mssql server数据库实例
2014/12/25 PHP
php动态绑定变量的用法
2015/06/16 PHP
JS对URL字符串进行编码/解码分析
2008/10/25 Javascript
js escape,unescape解决中文乱码问题的方法
2010/05/26 Javascript
jQuery.extend 函数的详细用法
2012/06/27 Javascript
JavaScript字符串对象split方法入门实例(用于把字符串分割成数组)
2014/10/16 Javascript
javascript创建对象的几种模式介绍
2016/05/06 Javascript
JavaScript中的冒泡排序法
2016/08/03 Javascript
微信小程序 toast 详解及实例代码
2016/11/09 Javascript
vue基于mint-ui的城市选择3级联动的示例
2017/10/25 Javascript
在axios中使用params传参的时候传入数组的方法
2018/09/25 Javascript
Vue 第三方字体图标引入 Font Awesome的方法
2018/09/28 Javascript
node.js基于socket.io快速实现一个实时通讯应用
2019/04/23 Javascript
小程序实现新用户判断并跳转激活的方法
2019/05/20 Javascript
微信小程序自定义单项选择器样式
2019/07/25 Javascript
[00:17]DOTA2荣耀之路5:It’s a disastah!
2018/05/28 DOTA
如何使用七牛Python SDK写一个同步脚本及使用教程
2015/08/23 Python
python黑魔法之编码转换
2016/01/25 Python
利用python获取某年中每个月的第一天和最后一天
2016/12/15 Python
对pandas中apply函数的用法详解
2018/04/10 Python
python2与python3共存问题的解决方法
2018/09/18 Python
Django对接支付宝实现支付宝充值金币功能示例
2019/12/17 Python
Python 实现将某一列设置为str类型
2020/07/14 Python
用html5实现语音搜索框的方法
2014/03/18 HTML / CSS
官方授权图形T恤和服装:Fifth Sun
2019/06/12 全球购物
shallow copy和deep copy的区别
2016/05/09 面试题
数控专业毕业生自荐信范文
2014/03/04 职场文书
2014第二批党的群众路线教育实践活动对照检查材料思想汇报
2014/09/18 职场文书
学校领导四风问题整改措施思想汇报
2014/10/09 职场文书
自查自纠整改报告
2014/11/06 职场文书
2014年班主任工作总结
2014/11/08 职场文书
材料员岗位职责范本
2015/04/11 职场文书
涨价通知
2015/04/23 职场文书
刑事法律意见书
2015/06/04 职场文书
python spilt()分隔字符串的实现示例
2021/05/21 Python
国产动画《万圣街》日语配音版制作决定!
2022/03/20 国漫