首页
所有分类
TAGS
文字工具 EMOJI BIBLE
服务器 Servers

Nginx配置https原理及实现过程详解

Posted in Servers onMarch 31, 2021

使用linux实用工具certbot来生成https证书

这个工具是生成Let's Encrypt证书,

Let's Encrypt数字证书认证机构,Let's Encrypt 是由互联网安全研究小组(ISRG,一个公益组织)提供的服务

提供免费的SSL/TLS证书

2015年12月3日,该服务进入公测阶段,正式面向公众。

2016年4月12日,该项目正式离开Beta阶段。

到2016年9月9日,Let's Encrypt 已经发放 1000 万张证书。

因此对于大部分中小型网站来说,是一个值得考虑的选择。

https配置的步骤

1打开 https://certbot.eff.org/ 选择对应操作系统与 Web 服务器

这里我选择nginx服务器,CentOS7服务器上

2执行命令,并根据需要修改相应域名参数。

certbot要通过yum安装,certbot被打包到epel源中,

所以安装启动epel库,安装epel源查看链接

https://fedoraproject.org/wiki/EPEL#How_can_I_use_these_extra_packages.3F

启动epel源,可以使用手动自己启动epel,也可以借助yum-config-manager命令来启动

安装yum-config-manager

yum -y install yum-utils

启动epel

yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

3安装certbot

sudo yum install certbot python2-certbot-nginx

获取证书的两种方式:身份验证器和安装程序

使用webRoot插件进行安装,这个要求你的服务器80端口能够正常被访问到(这个域名是属于你的)

webRoot插件通过certonly和--webroot(或者-w)在命令行上执行命令

certbot certonly -w /var/www/example -d www.example.com

certbot certonly -w 可以被http访问到的webroot目录 -d 要配置https的域名名称

上面的 /var/www/example表示的是在nginx配置文件中root根节点所指向的根路径

webroot插件的工作原理是为每个请求的域创建一个临时文件${webroot-path}/.well-known/acme-challenge。

然后,Let的加密验证服务器发出HTTP请求,以验证每个请求的域的DNS是否解析为运行certbot的服务器。

访问请求如下

66.133.109.36 - - [05/Jan/2016:20:11:24 -0500] "GET /.well-known/acme-challenge/HGr8U1IeTW4kY_Z6UIyaakzOkyQgPr_7ArlLgtZE8SX HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

所以我们服务器需要放通.well-known/acme-challenge这个访问路径

例如,

server
  {
    listen 80;
    server_name www.example.com; 
    index index.html ;
    root /var/www/example;
  
    。。。
  
    location ~ /.well-known {
      allow all;
    }
  }

具体的http配置文件

server
  {
    listen 80;
    server_name www.example.com; 
    index index.html ;
    root /var/www/www.example.com;


    location / {
      proxy_redirect off;
      proxy_pass http://localhost:8080;
      proxy_set_header Host $host;
      proxy_set_header  X-real-ip $remote_addr;
      proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    #error_page  404  /404.html;

    location /nginx_status
    {
      #stub_status on;
      #access_log  off;
    }

    location ~ /.well-known {
      allow all;
    }

    location ~ /\.
    {
      deny all;
    }
access_log /data/log/nginx//var/www/www.example.com/-access.log;
    error_log /data/log/nginx//var/www/www.example.com/-error.log;
}

执行完命令后,https证书就会生成在/etc/letsencrypt/live目录下

certbot certonly -w /var/www/example -d www.example.com

比如上面的命令会生成证书/etc/letsencrypt/live/www.example.com/fullchain.pem

生成证书密钥文件/etc/letsencrypt/live/www.example.com/privkey.pem

然后我们只需要为该域名加上https配置,我们nginx就配置完成https

https对应443端口

具体https配置文件

server
  {
    listen 443 ssl http2;
    #listen [::]:443 ssl http2;
    server_name www.example.com;
    index index.html index.htm index.php default.html default.htm default.php;
    root /var/www/www.example.com/;
    
    ssl on;
    ssl_certificate /etc/letsencrypt/live/www.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.example.com/privkey.pem;
    
   location / {
      proxy_redirect off;
      proxy_pass http://localhost:8080;
      proxy_set_header Host $host;
      proxy_set_header  X-real-ip $remote_addr;
      proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    #error_page  404  /404.html;

    include enable-php-pathinfo.conf;

    location ~ /.well-known {
      allow all;
    }

    location ~ /\.
    {
      deny all;
    }

    access_log /data/log/nginx/www.example.com-ssl-access.log;
    error_log /data/log/nginx/www.example.com-ssl-error.logs;  
}

查看生产的证书

tree /etc/letsencrypt/live/

证书续签

Let's Encrypt 生成的免费证书为3个月时间,但是我们可以无限次续签证书

certbot renew

使用定时器来自动重新生成证书

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew

centos6使用

1获取certbot客户端

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

2停止nginx

service nginx stop

3生成证书

./certbot-auto certonly --standalone --email `你的邮箱地址` -d `你的域名地址`

当前网站有多个域名时需在后面增加,例如

./certbot-auto certonly --standalone --email `你的邮箱地址` -d `你的域名1` -d `你的域名2`

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Nginx配置https原理及实现过程详解

- Author -

海绵般汲取

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Servers 相关文章推荐
Nginx优化服务之网页压缩的实现方法
Mar 31 Servers
nginx限制并发连接请求数的方法
Apr 01 Servers
配置nginx 重定向到系统维护页面
Jun 08 Servers
nginx结合openssl实现https的方法
Jul 25 Servers
Nginx配置文件详解以及优化建议指南
Sep 15 Servers
使用Nginx搭载rtmp直播服务器的方法
Oct 16 Servers
阿里云ECS云服务器快照的概念以及如何使用
Apr 21 Servers
Vscode中SSH插件如何远程连接Linux
May 02 Servers
nginx设置资源请求目录的方式详解
May 30 Servers
Windows server 2003卸载和安装IIS的图文教程
Jul 15 Servers
ubuntu20.04虚拟机无法上网的问题及解决
Dec 24 Servers
码云(gitee)通过git自动同步到阿里云服务器
Dec 24 Servers
如何在centos上使用yum安装rabbitmq-server
Mar 31 #Servers
Windows下使用Nginx+Tomcat做负载均衡的完整步骤
阿里云Nginx配置https实现域名访问项目(图文教程)
详解Nginx 工作原理
fastdfs+nginx集群搭建的实现
Nginx域名转发https访问的实现
Mar 31 #Servers
Nginx本地目录映射实现代码实例
Mar 31 #Servers
手调机(1) 数调机(1) 发烧友(1) 频偏(1) 鉴频器(1) 频率(1) AM(1) 灵敏度(1) 高放电路(1) 实习报告(1)
You might like
PHP音乐采集(部分代码)
2007/02/14 PHP
PHP切割汉字的常用方法实例总结
2019/04/27 PHP
childNodes.length与children.length的区别
2009/05/14 Javascript
javascript游戏开发之《三国志曹操传》零部件开发(二)人物行走的实现
2013/01/23 Javascript
js 输出内容到新窗口具体实现代码
2013/05/31 Javascript
JS 屏蔽键盘不可用与鼠标右键不可用的方法
2013/11/18 Javascript
JavaScript极简入门教程(二):对象和函数
2014/10/25 Javascript
js实现根据身份证号自动生成出生日期
2015/12/15 Javascript
网站发布后Bootstrap框架引用woff字体无法正常显示的解决方法
2016/11/24 Javascript
快速入门Vue
2016/12/19 Javascript
jQuery tip提示插件(实例分享)
2017/04/28 jQuery
Django+Vue.js搭建前后端分离项目的示例
2017/08/07 Javascript
vue 路由页面之间实现用手指进行滑动的方法
2018/02/23 Javascript
基于vue 添加axios组件,解决post传参数为null的问题
2018/03/05 Javascript
vue keep-alive请求数据的方法示例
2018/05/16 Javascript
深入浅析Vue中的Prop
2018/06/10 Javascript
深入浅析angular和vue还有jquery的区别
2018/08/13 jQuery
mpvue开发音频类小程序踩坑和建议详解
2019/03/12 Javascript
JavaScript基于用户照片姓名生成海报
2020/05/29 Javascript
[02:46]解说DC:感谢430陪伴我们的DOTA2国际邀请赛岁月
2016/06/29 DOTA
Python实现字典按key或者value进行排序操作示例【sorted】
2019/05/03 Python
Python使用numpy模块实现矩阵和列表的连接操作方法
2019/06/26 Python
Win10系统下安装labelme及json文件批量转化方法
2019/07/30 Python
Python多继承以及MRO顺序的使用
2019/11/11 Python
Python实现打印实心和空心菱形
2019/11/23 Python
python 如何将office文件转换为PDF
2020/09/22 Python
安全标准化汇报材料
2014/02/03 职场文书
机关单位工作失职检讨书
2014/11/20 职场文书
2015年度销售个人工作总结
2015/03/31 职场文书
2015年社会治安综合治理工作总结
2015/04/10 职场文书
侵犯商业秘密的律师函
2015/05/27 职场文书
学生会招新宣传语
2015/07/13 职场文书
工作后的感想
2015/08/07 职场文书
《梅花魂》教学反思
2016/02/18 职场文书
2016年保险公众宣传日活动总结
2016/04/05 职场文书
javascript条件式访问属性和箭头函数介绍
2021/11/17 Javascript