服务器 Servers

nginx结合openssl实现https的方法

Posted in Servers onJuly 25, 2021

在未使用SSL证书对服务器数据进行加密认证的情况下，用户的数据将会以明文的形式进行传输，这样一来使用抓包工具是可以获取到用户密码信息的，非常危险。而且也无法验证数据一致性和完整性，不能确保数据在传输过程中没被改变。所以网站如果有涉及用户账户等重要信息的情况下通常要配置使用SSL证书，实现https协议。

在生产环境中的SSL证书都需要通过第三方认证机构购买，分为专业版OV证书（浏览器地址栏上不显示企业名称）和高级版EV（可以显示企业名称）证书，证书所保护的域名数不同也会影响价格（比如只对www认证和通配*认证，价格是不一样的），且不支持三级域名。测试中可以自己作为证书颁发机构来制作证书，浏览器会显示为红色，代表证书过期或者无效，如果是黄色的话代表网站有部分连接使用的仍然是http协议。

不管使用哪种方法，在拿到证书后对Nginx的配置都是一样的，所以这里以搭建OpenSSL并制作证书来进行完整说明

一、准备环境

1）nginx服务

2）ssl模块

[root@ns3 ~]# systemctl stop firewalld
[root@ns3 ~]# iptables -F
[root@ns3 ~]# setenforce 0
[root@ns3 ~]# yum -y install pcre zlib pcre-devel zlib-devel
[root@ns3 ~]# tar xf nginx-1.16.0.tar.gz -C /usr/src/
[root@ns3 ~]#cd /usr/src/nginx-1.16.0
[root@ns3 ~]#./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module&&make && make install #后续需要的模块一次性安装

3）检测openssl是否安装

[root@ns3 ~]# rpm -qa openssl 2 openssl-1.0.1e-42.el7.x86_64

若没有安装

[root@ns3 ~]# yum -y install openssl openssl-devel

二、创建根证书CA

1、生成CA私钥

[root@ns3 ~]# cd zhengshu/
[root@ns3 zhengshu]# openssl genrsa -out local.key 2048
Generating RSA private key, 2048 bit long modulus
...........................................................................................................................................................................................................................+++
............................................................................................................................................................................................+++
e is 65537 (0x10001)
[root@ns3 zhengshu]# ls
local.key

　2、生成CA证书请求

[root@ns3 zhengshu]# openssl req -new -key local.key -out local.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN  #国家
State or Province Name (full name) []:BJ   #省份
Locality Name (eg, city) [Default City]:BJ  #城市
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:test   #部门
Common Name (eg, your name or your server's hostname) []:test   #主机名
Email Address []:test@test.com  #邮箱

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:wuminyan  #密码
An optional company name []:wuminyan  #姓名
[root@ns3 zhengshu]# ls
local.csr  local.key

req: 这是一个大命令，提供生成证书请求文件，验证证书，和创建根CA
 -new: 表示新生成一个证书请求
 -x509: 直接输出证书
 -key: 生成证书请求时用到的私钥文件
 -out：输出文件

3、生成CA根证书

这个生成CA证书的命令会让人迷惑
1.通过秘钥 生成证书请求文件
2.通过证书请求文件 生成最终的证书
 -in 使用证书请求文件生成证书，-signkey 指定私钥，这是一个还没搞懂的参数
[root@ns3 zhengshu]# openssl x509 -req -in local.csr -extensions v3_ca -signkey local.key -out local.crt
Signature ok
subject=/C=CN/ST=BJ/L=BJ/O=Default Company Ltd/OU=test/CN=test/emailAddress=test@test.com
Getting Private key

三、根据CA证书创建server端证书

1、生成server私匙

[root@ns3 zhengshu]# openssl genrsa -out my_server.key 2048
Generating RSA private key, 2048 bit long modulus
.................................+++
.........................................+++
e is 65537 (0x10001)
[root@ns3 zhengshu]# ls
local.crt  local.csr  local.key  my_server.key

2、生成server证书请求

[root@ns3 zhengshu]# openssl x509 -req -in local.csr -extensions v3_ca -signkey local.key -out local.crt
Signature ok
subject=/C=CN/ST=BJ/L=BJ/O=Default Company Ltd/OU=test/CN=test/emailAddress=test@test.com
Getting Private key
[root@ns3 zhengshu]# openssl genrsa -out my_server.key 2048
Generating RSA private key, 2048 bit long modulus
.................................+++
.........................................+++
e is 65537 (0x10001)
[root@ns3 zhengshu]# openssl req -new -key my_server.key -out my_server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BJ
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your server's hostname) []:test
Email Address []:test@test.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:wuminyan
An optional company name []:wuminyan
[root@ns3 zhengshu]# ls
local.crt  local.csr  local.key  my_server.csr  my_server.key

3、生成server证书

[root@ns3 zhengshu]# openssl x509 -days 365 -req -in my_server.csr -extensions v3_req -CAkey local.key -CA local.crt -CAcreateserial -out my_server.crt
 Signature ok
 subject=/C=CN/ST=BJ/L=BJ/O=Default Company Ltd/OU=test/CN=test/emailAddress=test@test.com
 Getting CA Private Key

四、配置nginx支持SSL

[root@ns3 ~]# vim /etc/nginx.cof      #这里设置了一个软连接:lln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
server {
        listen 80;
        listen       443 default  ssl;  #监听433端口
                keepalive_timeout 100;  #开启keepalive 激活keepalive长连接，减少客户端请求次数

                   ssl_certificate      /root/zhengshu/local.crt;   #server端证书位置
                   ssl_certificate_key  /root/zhengshu/local.key;   #server端私钥位置

                        ssl_session_cache    shared:SSL:10m;         #缓存session会话
                        ssl_session_timeout  10m;                    # session会话    10分钟过期

                   ssl_ciphers  HIGH:!aNULL:!MD5;
                   ssl_prefer_server_ciphers  on;

        server_name   test.com;
        charset utf-8;

        location / {
            root   html;
            index  index.html index.htm;
        }

    }
}

五、测试

输入https：//192.168.200.115

nginx结合openssl实现https的方法

到此这篇关于nginx结合openssl实现https的文章就介绍到这了,更多相关nginx实现https内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木！

nginx结合openssl实现https的方法

- Author -

七月七日清

- Original Sources -

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Servers 相关文章推荐

Nginx同一个域名配置多个项目的实现方法

Mar 31 Servers

Nginx的rewrite模块详解

Mar 31 Servers

Nginx反向代理及负载均衡如何实现(基于linux)

Mar 31 Servers

nginx+lua单机上万并发的实现

May 31 Servers

详解Nginx 被动检查服务器的存活状态

Oct 16 Servers

nginx负载功能+nfs服务器功能解析

Feb 28 Servers

Windows server 2012 配置Telnet以及用法详解

Apr 28 Servers

使用 Docker Compose 构建复杂的多容器App

Apr 30 Servers

nginx之queue的具体使用

Jun 28 Servers

Apache Kafka 分区重分配的实现原理解析

Jul 15 Servers

Win10系统搭建ftp文件服务器详细教程

Aug 05 Servers

Windows server 2016服务器基本设置

Aug 14 Servers

nginx配置虚拟主机的详细步骤

nginx的zabbix 5.0安装部署的方法步骤

nginx请求限制配置方法

使用goaccess分析nginx日志的详细方法

Jul 09 #Servers

nginx作grpc的反向代理踩坑总结

使用 Apache Superset 可视化 ClickHouse 数据的两种方法

使用nginx配置访问wgcloud的方法

Jun 26 #Servers

You might like

PHP使用Alexa API获取网站的Alexa排名例子

2014/06/12 PHP

php调用KyotoTycoon简单实例

2015/04/02 PHP

ThinkPHP 3.2.2实现事务操作的方法

2017/05/05 PHP

Flash+XML滚动新闻代码无图片附源码下载

2007/11/22 Javascript

Javascript 事件流和事件绑定

2009/07/16 Javascript

javascript下4个跨浏览器必备的函数

2010/03/07 Javascript

编写针对IE的JS代码两种编写方法

2013/01/30 Javascript

NodeJS中利用Promise来封装异步函数

2015/02/25 NodeJs

jQuery实现带动画效果的多级下拉菜单代码

2015/09/08 Javascript

全面解析Javascript无限添加QQ好友原理

2016/06/15 Javascript

jQuery mobile在页面加载时添加加载中效果 document.ready 和window.onload执行顺序比较

2016/07/14 Javascript

Vue.js每天必学之Class与样式绑定

2016/09/05 Javascript

预防网页挂马的方法总结

2016/11/03 Javascript

如何实现星星评价（jquery.raty.js插件）

2016/12/21 Javascript

jQuery实现在新增加的元素上添加事件方法案例分析

2017/02/09 Javascript

用ES6写全屏滚动插件的示例代码

2018/05/02 Javascript

JavaScript中join()、splice()、slice()和split()函数用法示例

2018/08/24 Javascript

使用JS监听键盘按下事件（keydown event）

2019/11/07 Javascript

Python 条件判断的缩写方法

2008/09/06 Python

Python检测生僻字的实现方法

2016/10/23 Python

使用python中的in ,not in来检查元素是不是在列表中的方法

2018/07/06 Python

Python定义一个跨越多行的字符串的多种方法小结

2018/07/19 Python

Python中常见的数制转换有哪些

2020/05/27 Python

日本快乐生活方式购物网站：Shop Japan

2018/07/17 全球购物

Europcar德国：全球汽车租赁领域的领导者

2018/08/15 全球购物

小学教师管理制度

2014/01/18 职场文书

小学英语教师先进事迹

2014/05/28 职场文书

贷款委托书怎么写

2014/08/02 职场文书

节能环保家庭事迹材料

2014/08/27 职场文书

教书育人演讲稿

2014/09/11 职场文书

行政助理岗位职责范本

2015/04/11 职场文书

病危通知单

2015/04/17 职场文书

2015年文秘个人工作总结

2015/10/14 职场文书

2019年第四季度财务部门工作计划

2019/11/02 职场文书

Nginx反向代理至go-fastdfs案例讲解

2021/08/02 Servers

Android自定义双向滑动控件

2022/04/19 Java/Android