草庐IT

Nginx配置https网站

CCH2023 2024-01-28 原文

1、什么是https?

https超文本传输安全协议是http、ssl安全套接层和tls传输层安全的组合。用于提供加密通信和鉴定网络服务器的身份。网上的支付交易、个人隐私和企业中的敏感信息等越来越受到人们的关注和保护。因此https目前已经是所有注重隐私和安全的网站首选。

要想实现https加密网站,在服务器端首先要获得CA(Certification Authority)认证机构颁发的服务器数字证书(CRT),然后浏览器在发起https请求的时候会验证服务器的CRT是否合法,如不合法就给出一个warning提示信息,若合法,用户在与网站交互的时候,所传输的数据都是加密后的数据,达到了安全可靠的效果。

Nginx服务器中的ngx_http_ssl_module模块用于提供https网站的配置。专业的CA机构颁发的证书是收费的,且需要IP地址和域名。

2、颁发认证证书:

使用Openssl命令实现认证证书的办法功能:

1)生成服务器的RSA私钥

mkdir /usr/local/nginx/conf/ssl

cd /usr/local/nginx/conf/ssl
openssl genrsa -out server.key 2048

命令说明:

1)在conf目录中创建ssl目录;

2)然后使用openssl 生成rsa私钥,genrsa:生成rsa私钥,-out server.key:表示输出的文件名,文件所在的目录为执行当前openssl命令时所在的目录;

3)2048: 密钥长度是2048位。至少是2048位,长度越长,安全性越强。

2)生成服务器的CSR证书请求文件:

CSR证书请求文件是服务器的公钥,用于提交给CA机构进行签名。

说明:

1)程序在生成的过程中需要填写说明:

2)Organizaiton Name: 填写公司名称。

3)Common Name: 必须填写与实际使用https的网站域名吻合。我这边是chang.com 否则会引起浏览器警告。

以上生成的两个文件:

server.key: 是服务器的私钥。

server.csr: 相当于公钥。

利用公钥可以对数据进行加密,加密之后只有私钥才能解密。

私钥用于对数据进行数字签名,签名后的数据可以利用公钥进行验证。

3)CA为服务器认证证书:

openssl x509 -req -days 30 -in server.csr -signkey server.key -out server.crt

说明:

1)使用CA的私钥server.key 为服务器的CSR证书申请文件server.csr 进行签名认证。其中x509是自签名证书格式,days 30 是设置签发证书的有效期为30天。

CA利用私钥签名证书后,该证书将用于浏览器验证请求的网站是否真实,防止网络通信过程中伪造。浏览器保存了受信任的CA机构的公钥,在请求https网站的时候,会利用CA公钥验证服务器的证书,并检查域名是否吻合、证书是否过期、证书是否过期、证书是否已经被吊销等。

 

3)配置HTTPS网站:

加密通信的时候,浏览器通过网站的证书可以获得服务器的公钥,然后利用公钥加密请求信息,Nginx收到后再利用服务器的私钥解开信息。

浏览器在证书认证后,会在请求信息中包含一个自动生成的高强度密钥,就是随机数。服务器收到利用该密钥加密响应消息。

为了提供效率,在证书认证后的一段时间内是直接利用这个密钥进行对称加密通信。

在Nginx服务器中配置SSL服务,首先需要在编译安装Nginx时添加对ngx_http_ssl_module模块的支持。

 

我们需要平滑重启nginx使配置生效。

修改下宿主机中的hosts文件:

 

在浏览器中输入:https://www.chang.com

 

然后选择高级继续前往:

 就可以访问到该网站下的文件。

Nginxhttpsxffxff0cxff0

有关Nginx配置https网站的更多相关文章

  1. ruby-on-rails - 如何优雅地重启 thin + nginx? - 2

    我的瘦服务器配置了nginx,我的ROR应用程序正在它们上运行。在我发布代码更新时运行thinrestart会给我的应用程序带来一些停机时间。我试图弄清楚如何优雅地重启正在运行的Thin实例,但找不到好的解决方案。有没有人能做到这一点? 最佳答案 #Restartjustthethinserverdescribedbythatconfigsudothin-C/etc/thin/mysite.ymlrestartNginx将继续运行并代理请求。如果您将Nginx设置为使用多个上游服务器,例如server{listen80;server

  2. ruby-on-rails - 独立 ruby​​ 脚本的配置文件 - 2

    我有一个在Linux服务器上运行的ruby​​脚本。它不使用rails或任何东西。它基本上是一个命令行ruby​​脚本,可以像这样传递参数:./ruby_script.rbarg1arg2如何将参数抽象到配置文件(例如yaml文件或其他文件)中?您能否举例说明如何做到这一点?提前谢谢你。 最佳答案 首先,您可以运行一个写入YAML配置文件的独立脚本:require"yaml"File.write("path_to_yaml_file",[arg1,arg2].to_yaml)然后,在您的应用中阅读它:require"yaml"arg

  3. Ruby Sinatra 配置用于生产和开发 - 2

    我已经在Sinatra上创建了应用程序,它代表了一个简单的API。我想在生产和开发上进行部署。我想在部署时选择,是开发还是生产,一些方法的逻辑应该改变,这取决于部署类型。是否有任何想法,如何完成以及解决此问题的一些示例。例子:我有代码get'/api/test'doreturn"Itisdev"end但是在部署到生产环境之后我想在运行/api/test之后看到ItisPROD如何实现? 最佳答案 根据SinatraDocumentation:EnvironmentscanbesetthroughtheRACK_ENVenvironm

  4. ruby - Ping ruby 网站? - 2

    在Ruby中可以使用哪些替代方法来ping一个ip地址?标准库“ping”库的功能似乎非常有限。我对在这里滚动我自己的代码不感兴趣。有没有好的gem?我应该接受它并忍受它吗?(我在Linux上使用Ruby1.8.6编写代码) 最佳答案 net-ping值得一看。它允许TCPping(如标准ruby​​ping),但也允许UDP、HTTP和ICMPping。ICMPping需要root权限,但其他则不需要。 关于ruby-Pingruby网站?,我们在StackOverflow上找到一个类

  5. Vscode+Cmake配置并运行opencv环境(Windows和Ubuntu大同小异) - 2

    之前在培训新生的时候,windows环境下配置opencv环境一直教的都是网上主流的vsstudio配置属性表,但是这个似乎对新生来说难度略高(虽然个人觉得完全是他们自己的问题),加之暑假之后对cmake实在是爱不释手,且这样配置确实十分简单(其实都不需要配置),故斗胆妄言vscode下配置CV之法。其实极为简单,图比较多所以很长。如果你看此文还配不好,你应该思考一下是不是自己的问题。闲话少说,直接开始。0.CMkae简介有的人到大二了都不知道cmake是什么,我不说是谁。CMake是一个开源免费并且跨平台的构建工具,可以用简单的语句来描述所有平台的编译过程。它能够根据当前所在平台输出对应的m

  6. Get https://registry-1.docker.io/v2/: net/http: request canceled while waiting - 2

    1.错误信息:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:requestcanceledwhilewaitingforconnection(Client.Timeoutexceededwhileawaitingheaders)或者:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:TLShandshaketimeout2.报错原因:docker使用的镜像网址默认为国外,下载容易超时,需要修改成国内镜像地址(首先阿里

  7. 神州数码无线产品(AC+AP)配置 - 2

    注意:本文主要掌握DCN自研无线产品的基本配置方法和注意事项,能够进行一般的项目实施、调试与运维AP基本配置命令AP登录用户名和密码均为:adminAP默认IP地址为:192.168.1.10AP默认情况下DHCP开启AP静态地址配置:setmanagementstatic-ip192.168.10.1AP开启/关闭DHCP功能:setmanagementdhcp-statusup/downAP设置默认网关:setstatic-ip-routegeteway192.168.10.254查看AP基本信息:getsystemgetmanagementgetmanaged-apgetrouteAP配

  8. hadoop安装之保姆级教程(二)之YARN的配置 - 2

    1.1.1 YARN的介绍 为克服Hadoop1.0中HDFS和MapReduce存在的各种问题⽽提出的,针对Hadoop1.0中的MapReduce在扩展性和多框架⽀持⽅⾯的不⾜,提出了全新的资源管理框架YARN. ApacheYARN(YetanotherResourceNegotiator的缩写)是Hadoop集群的资源管理系统,负责为计算程序提供服务器计算资源,相当于⼀个分布式的操作系统平台,⽽MapReduce等计算程序则相当于运⾏于操作系统之上的应⽤程序。 YARN被引⼊Hadoop2,最初是为了改善MapReduce的实现,但是因为具有⾜够的通⽤性,同样可以⽀持其他的分布式计算模

  9. Ruby 默认将 IRB 配置为 Pretty_Inspect - 2

    我是ruby​​的新手,正在配置IRB。我喜欢pretty-print(需要'pp'),但总是输入pp来漂亮地打印它似乎很麻烦。我想做的是默认情况下让它漂亮地打印出来,所以如果我有一个var,比如说,'myvar',然后键入myvar,它会自动调用pretty_inspect而不是常规检查。我从哪里开始?理想情况下,我将能够向我的.irbrc文件添加一个自动调用的方法。有什么想法吗?谢谢! 最佳答案 irb中默认pretty-print对象正是hirb被迫去做。Theseposts解释hirb如何将几乎所有内容转换为ascii表。虽

  10. ruby - 是否可以将 IRB 提示配置为动态更改? - 2

    我想在IRB中浏览文件系统并让提示更改以反射(reflect)当前工作目录,但我不知道如何在每个命令后进行提示更新。最终,我想在日常工作中更多地使用IRB,让bash溜走。我在我的.irbrc中试过这个:require'fileutils'includeFileUtilsIRB.conf[:PROMPT][:CUSTOM]={:PROMPT_N=>"\e[1m:\e[m",:PROMPT_I=>"\e[1m#{pwd}>\e[m",:PROMPT_S=>"FOO",:PROMPT_C=>"\e[1m#{pwd}>\e[m",:RETURN=>""}IRB.conf[:PROMPT_MO

随机推荐