首页
所有分类
TAGS
文字工具 EMOJI BIBLE
服务器 Servers

Nginx配置https原理及实现过程详解

Posted in Servers onMarch 31, 2021

使用linux实用工具certbot来生成https证书

这个工具是生成Let's Encrypt证书,

Let's Encrypt数字证书认证机构,Let's Encrypt 是由互联网安全研究小组(ISRG,一个公益组织)提供的服务

提供免费的SSL/TLS证书

2015年12月3日,该服务进入公测阶段,正式面向公众。

2016年4月12日,该项目正式离开Beta阶段。

到2016年9月9日,Let's Encrypt 已经发放 1000 万张证书。

因此对于大部分中小型网站来说,是一个值得考虑的选择。

https配置的步骤

1打开 https://certbot.eff.org/ 选择对应操作系统与 Web 服务器

这里我选择nginx服务器,CentOS7服务器上

2执行命令,并根据需要修改相应域名参数。

certbot要通过yum安装,certbot被打包到epel源中,

所以安装启动epel库,安装epel源查看链接

https://fedoraproject.org/wiki/EPEL#How_can_I_use_these_extra_packages.3F

启动epel源,可以使用手动自己启动epel,也可以借助yum-config-manager命令来启动

安装yum-config-manager

yum -y install yum-utils

启动epel

yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

3安装certbot

sudo yum install certbot python2-certbot-nginx

获取证书的两种方式:身份验证器和安装程序

使用webRoot插件进行安装,这个要求你的服务器80端口能够正常被访问到(这个域名是属于你的)

webRoot插件通过certonly和--webroot(或者-w)在命令行上执行命令

certbot certonly -w /var/www/example -d www.example.com

certbot certonly -w 可以被http访问到的webroot目录 -d 要配置https的域名名称

上面的 /var/www/example表示的是在nginx配置文件中root根节点所指向的根路径

webroot插件的工作原理是为每个请求的域创建一个临时文件${webroot-path}/.well-known/acme-challenge。

然后,Let的加密验证服务器发出HTTP请求,以验证每个请求的域的DNS是否解析为运行certbot的服务器。

访问请求如下

66.133.109.36 - - [05/Jan/2016:20:11:24 -0500] "GET /.well-known/acme-challenge/HGr8U1IeTW4kY_Z6UIyaakzOkyQgPr_7ArlLgtZE8SX HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

所以我们服务器需要放通.well-known/acme-challenge这个访问路径

例如,

server
  {
    listen 80;
    server_name www.example.com; 
    index index.html ;
    root /var/www/example;
  
    。。。
  
    location ~ /.well-known {
      allow all;
    }
  }

具体的http配置文件

server
  {
    listen 80;
    server_name www.example.com; 
    index index.html ;
    root /var/www/www.example.com;


    location / {
      proxy_redirect off;
      proxy_pass http://localhost:8080;
      proxy_set_header Host $host;
      proxy_set_header  X-real-ip $remote_addr;
      proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    #error_page  404  /404.html;

    location /nginx_status
    {
      #stub_status on;
      #access_log  off;
    }

    location ~ /.well-known {
      allow all;
    }

    location ~ /\.
    {
      deny all;
    }
access_log /data/log/nginx//var/www/www.example.com/-access.log;
    error_log /data/log/nginx//var/www/www.example.com/-error.log;
}

执行完命令后,https证书就会生成在/etc/letsencrypt/live目录下

certbot certonly -w /var/www/example -d www.example.com

比如上面的命令会生成证书/etc/letsencrypt/live/www.example.com/fullchain.pem

生成证书密钥文件/etc/letsencrypt/live/www.example.com/privkey.pem

然后我们只需要为该域名加上https配置,我们nginx就配置完成https

https对应443端口

具体https配置文件

server
  {
    listen 443 ssl http2;
    #listen [::]:443 ssl http2;
    server_name www.example.com;
    index index.html index.htm index.php default.html default.htm default.php;
    root /var/www/www.example.com/;
    
    ssl on;
    ssl_certificate /etc/letsencrypt/live/www.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.example.com/privkey.pem;
    
   location / {
      proxy_redirect off;
      proxy_pass http://localhost:8080;
      proxy_set_header Host $host;
      proxy_set_header  X-real-ip $remote_addr;
      proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    #error_page  404  /404.html;

    include enable-php-pathinfo.conf;

    location ~ /.well-known {
      allow all;
    }

    location ~ /\.
    {
      deny all;
    }

    access_log /data/log/nginx/www.example.com-ssl-access.log;
    error_log /data/log/nginx/www.example.com-ssl-error.logs;  
}

查看生产的证书

tree /etc/letsencrypt/live/

证书续签

Let's Encrypt 生成的免费证书为3个月时间,但是我们可以无限次续签证书

certbot renew

使用定时器来自动重新生成证书

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew

centos6使用

1获取certbot客户端

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

2停止nginx

service nginx stop

3生成证书

./certbot-auto certonly --standalone --email `你的邮箱地址` -d `你的域名地址`

当前网站有多个域名时需在后面增加,例如

./certbot-auto certonly --standalone --email `你的邮箱地址` -d `你的域名1` -d `你的域名2`

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Nginx配置https原理及实现过程详解

- Author -

海绵般汲取

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Servers 相关文章推荐
Nginx解决前端访问资源跨域问题的方法详解
Mar 31 Servers
Nginx配置80端口访问8080及项目名地址方法解析
Mar 31 Servers
nginx请求限制配置方法
Jul 09 Servers
关于nginx 实现jira反向代理的问题
Sep 25 Servers
苹果M1芯片安装nginx 并且部署vue项目步骤详解
Nov 20 Servers
Nginx工作模式及代理配置的使用细节
Mar 21 Servers
深入解析Apache Hudi内核文件标记机制
Mar 31 Servers
Win10 Anaconda安装python-pcl
Apr 29 Servers
Win Server2016远程桌面如何允许多用户同时登录
Jun 10 Servers
Windows7下FTP搭建图文教程
Aug 05 Servers
Win10系统搭建ftp文件服务器详细教程
Aug 05 Servers
ubuntu开机后ROS程序自启动问题
Dec 24 Servers
如何在centos上使用yum安装rabbitmq-server
Mar 31 #Servers
Windows下使用Nginx+Tomcat做负载均衡的完整步骤
阿里云Nginx配置https实现域名访问项目(图文教程)
详解Nginx 工作原理
fastdfs+nginx集群搭建的实现
Nginx域名转发https访问的实现
Mar 31 #Servers
Nginx本地目录映射实现代码实例
Mar 31 #Servers
索尼ICF-36(1) python小游戏(5) update(2) 德生2P3(1) SnakeGame(1) 计算机视觉(2) 索引(8) 贪吃蛇(2) 全局锁(1) 备份(2)
You might like
DEDE采集大师官方留后门的删除办法
2011/01/08 PHP
PHP MYSQL实现登陆和模糊查询两大功能
2016/02/05 PHP
PHP基于双向链表与排序操作实现的会员排名功能示例
2017/12/26 PHP
php实现微信支付之退款功能
2018/05/30 PHP
php apache开启跨域模式过程详解
2019/07/08 PHP
javascript操作文本框readOnly
2007/05/15 Javascript
编写高效jQuery代码的4个原则和5个技巧
2014/04/24 Javascript
jquery实现翻动fadeIn显示的方法
2015/03/05 Javascript
JS日期格式化之javascript Date format
2015/10/01 Javascript
利用jQuery的动画函数animate实现豌豆发射效果
2016/08/28 Javascript
Angular 中 select指令用法详解
2016/09/29 Javascript
JS函数多个参数默认值指定方法分析
2016/11/28 Javascript
树结构之JavaScript
2017/01/24 Javascript
Vue 2.0学习笔记之使用$refs访问Vue中的DOM
2017/12/19 Javascript
vue代码分割的实现(codesplit)
2018/11/13 Javascript
ES6中的迭代器、Generator函数及Generator函数的异步操作方法
2019/05/12 Javascript
node.js的http.createServer过程深入解析
2019/06/06 Javascript
vue中获取滚动table的可视页面宽度调整表头与列对齐(每列宽度不都相同)
2019/08/17 Javascript
layui加载表格,绑定新增,编辑删除,查看按钮事件的例子
2019/09/06 Javascript
vue实现跳转接口push 转场动画示例
2019/11/01 Javascript
vue 解决setTimeOut和setInterval函数无效报错的问题
2020/07/30 Javascript
Vue项目利用axios请求接口下载excel
2020/11/17 Vue.js
Django1.7+python 2.78+pycharm配置mysql数据库
2016/10/09 Python
Python内置函数delattr的具体用法
2017/11/23 Python
Python错误的处理方法
2020/06/23 Python
python如何实时获取tcpdump输出
2020/09/16 Python
教师现实表现材料
2014/02/14 职场文书
庆元旦活动总结
2014/07/09 职场文书
2015年社区综治工作总结
2015/04/21 职场文书
爱国影片观后感
2015/06/18 职场文书
离职告别感言
2015/08/04 职场文书
小学2016年第十八届推普周活动总结
2016/04/05 职场文书
2019年手机市场的调研报告2篇
2019/10/10 职场文书
Vue如何实现组件间通信
2021/05/15 Vue.js
Vue-Element-Admin集成自己的接口实现登录跳转
2021/06/23 Vue.js
Java8利用Stream对列表进行去除重复的方法详解
2022/04/14 Java/Android