文档章节

Nginx开启SSL支持HTTPS访问(自签名方法)

openthings
 openthings
发布于 2018/08/18 06:27
字数 1549
阅读 90
收藏 1

Nginx开启SSL支持HTTPS访问(自签名方法)

超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。HTTPS不应与在RFC 2660中定义的安全超文本传输协议(S-HTTP)相混。

HTTPS 目前已经是所有注重隐私和安全的网站的首选,随着技术的不断发展,HTTPS 网站已不再是大型网站的专利,所有普通的个人站长和博客均可以自己动手搭建一个安全的加密的网站。如果访问的一个网站没有加密,那么你输入的所有帐号密码都是明文传输,可以被拦截读取,因此在涉及到隐私和金融等高保密环境,是必须要使用HTTPS加密的。

目前对我们来说证书有两种方式:

  • 一种是自签名证书,一种是经过各大浏览器系统认证支持的CA证书,如果使用自签名证书,虽然数据传输仍然是加密的,但是在用户浏览器上,会弹出证书错误提示因此最好还是使用第三方认证的SSL 证书。
  • 目前对我们来说还是有一些免费证书机构提供这个认证的,比如Let’s Encrypt 的免费证书,虽然要3个月重签一次,不过是一直免费的,Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS。
  • 当然如果你网站是商业用的要求有稳定的HTTPS安全环境,其实是可以买商用的SSL证书的,比如GODADDY的SSL也不贵。
  • 更多Nginx攻略:https://www.bnxb.com/nginx/

自签名方式

如需要受浏览器信任的证书安装方式,可以看这里:Nginx开启SSL支持HTTPS访问(使用Let's Encrypt免费证书)

先教你自签名的方式,虽然这个很鸡肋,在有免费证书可以用的情况下,基本没人用了:

1、首先机器上要安装openssl和openssl-devel

#yum install openssl
#yum install openssl-devel

2、自己颁发证书给自己

①进入目录

#cd /usr/local/nginx/conf

②创建服务器RSA私钥,命令会让你输入一个口令:

#openssl genrsa -des3 -out server.key 1024

③创建签名请求的证书(CSR):这里会提示输入省份(State / Province)、城市(City)、域名信息等,重要的是,email一定要是你的域名后缀的。这样就有一个 csr 文件了,提交给 ssl 提供商的时候就是这个 csr 文件。当然我这里并没有向证书提供商申请,下一步我们自己签发了证书。

#openssl req -new -key server.key -out server.csr

④在加载SSL支持的Nginx并使用上述私钥时除去必须的口令:

#openssl rsa -in server.key -out server_nopwd.key

⑤标记证书使用上述私钥和CSR:

#openssl x509 -req -days 365 -in server.csr -signkey server_nopwd.key -out server.crt

到这里证书已经生成完毕。

3、配置nginx,修改Nginx配置文件,让其包含新标记的证书和私钥:

server {
    listen 443;
    ssl on;
    ssl_certificate  /usr/local/nginx/conf/server.crt;
    ssl_certificate_key  /usr/local/nginx/conf/server_nopwd.key;
}

加上括号内的语句,然后重启nginx。

  • 另外如果出现“[emerg] 10464#0: unknown directive “ssl” in /usr/local/nginx-0.6.32/conf/nginx.conf:74”则说明没有将ssl模块编译进nginx,在编译configure的时候需加上"–with-http_ssl_module"。
  • 另外还可以加入如下代码实现80端口301重定向到443,
server {
  listen 80;
  server_name www.bnxb.com;
  rewrite ^(.*) https://$server_name$1 permanent;
}

到这里就配置完成,可以用https://www.bnxb.com这种方式访问你的网站了,但是因为这里是自签名证书,浏览器没办法验证证书真伪,因此如果要去除浏览器访问的证书错误提示,可以把之前生成的server.crt文件使用winscp之类的SSH下载软件下载下来,导入到你电脑系统的证书管理器就行了,具体方法:控制面板 -> Internet选项 -> 内容 -> 发行者 -> 受信任的根证书颁发机构 -> 导入 -》选择server.crt。

  • 注意 https访问的是443端口,所以iptables要放开这个口,才可以。

只针对注册、登陆进行https加密处理

既然HTTPS能保证安全,为什么全世界大部分网站都仍旧在使用HTTP呢?使用HTTPS协议,对服务器来说是很大的负载开销。从性能上考虑,我 们无法做到对于每个用户的每个访问请求都进行安全加密(当然,Google这种大神除外)。作为一个普通网站,我们所追求的只是在进行交易、密码登陆等操 作时的安全。通过配置Nginx服务器,可以使用rewrite来做到这一点。

在https server下加入如下配置:

if ($uri !~* "/logging.php$")
{
    rewrite ^/(.*)$ http://$host/$1 redirect;
}

在http server下加入如下配置:

if ($uri ~* "/logging.php$")
{
    rewrite ^/(.*)$ https://$host/$1 redirect;
}

这样一来,用户会且只会在访问logging.php的情况下,才会通过https访问。

  • 更新:
    • 有一些开发框架会根据 $_SERVER['HTTPS'] 这个 PHP 变量是否为 on 来判断当前的访问请求是否是使用 https。为此我们需要在 Nginx 配置文件中添加一句来设置这个变量。遇到 https 链接重定向后会自动跳到 http 问题的同学可以参考一下。
server {
    ...
    listen 443;
    location \.php$ {
        ...
        include fastcgi_params;
        fastcgi_param HTTPS on; # 多加这一句
    }
}

server {
    ...
    listen 80;
    location \.php$ {
        ...
        include fastcgi_params;
    }
}

完毕。

本文转载自:https://www.bnxb.com/nginx/26919.html

共有 人打赏支持
openthings
粉丝 285
博文 1052
码字总数 574209
作品 1
东城
架构师
私信 提问
加载中

评论(2)

openthings
openthings

引用来自“OS飞浪”的评论

用点心,把标题改对
modified,thanks.
OS飞浪
OS飞浪
用点心,把标题改对
Kubernetes的HTTPS和证书问题,汇总

通过Kubernetes建立服务网站,需要干的事情和HTTPS和证书问题,汇总如下: 建立Nginx服务器 搞服务器第一步,Ubuntu 18.04设置静态IP 安装Nginx服务。 Kubernetes的deployment使用 创建服务,...

openthings
2018/08/18
0
0
Nginx配置SSL自签名证书的方法

Nginx配置SSL自签名证书的方法。 生成自签名SSL证书 生成RSA密钥(过程需要设置一个密码,记住这个密码) $ openssl genrsa -des3 -out domain.key 1024 拷贝一个不需要输入密码的密钥文件 $ op...

郑加威
01/03
0
0
Linux下nginx配置https协议访问的方法

一、配置nginx支持https协议访问,需要在编译安装nginx的时候添加相应的模块--with-httpsslmodule 查看nginx编译参数:/usr/local/nginx/sbin/nginx -V 如下所示: configure arguments: --p...

zyt_1978
2016/12/14
24
0
Nginx之Https 证书加密

1.1检查Nginx的SSL模块是否安装 [root@web-node1~]# /application/nginx/sbin/nginx -Vnginx version: nginx/1.6.3built by gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)TLS SNI support e......

邱月涛
2017/08/10
0
0
使用openssl生成自签名证书以及nginx ssl双向验证

一、服务器端证书生成 1、生成服务器端的私钥 openssl genrsa -des3 -out server.key 2048 命令完成后会提示让输入密码,这个密码是通过des3(也可以采用其他加密算法)加密此密钥文件的,如...

二两豆腐
2016/03/15
2.1K
0

没有更多内容

加载失败,请刷新页面

加载更多

Spring AOP 实现方法日志记录以及执行时间打印

注意:proxy-target-class="true" 这是决定是走jdk代理还是spring cglib代理的。高版本的(貌似)可以忽略。 1.在spring 相关配置文件中假如如下配置: <!-- 日志时间打印 --> <aop:config ...

轻量级赤影
16分钟前
1
0
使用应用程序(Java/Python)访问MaxCompute Lightning进行数据开发

MaxCompute Lightning是MaxCompute产品的交互式查询服务,支持以PostgreSQL协议及语法连接访问Maxcompute项目,让您使用熟悉的工具以标准 SQL查询分析MaxCompute项目中的数据,快速获取查询结...

阿里云官方博客
16分钟前
1
0
SVN chechout failed: xxx is not valid as filename in directory svn检出错误

SVN chechout failed: xxx is not valid as filename in directory svn检出错误 2018年05月29日 09:49:59 SieSteven 阅读数:820 版权声明:转载请注明出处,最好发邮件告知。谢谢 https://...

linjin200
18分钟前
1
0
QGIS for Android 开发:五、qgis for android demo编写

https://github.com/lutraconsulting/qgis-quick-demo-apphttps://github.com/yinyinnie/breakpad-for-androidhttps://github.com/google/breakpad.githttps://github.com/zhengtianzu......

洋碱
21分钟前
1
0
在DataWorks中实现指定UDF只能被指定账户访问

背景 之前写过一篇文章是关于“DataWorks和MaxCompute内部权限体系的区别”有兴趣的朋友可以点击阅读查看详情。但是还是有些同学会问,我如何在DataWorks中实现我的具体某个Resource,Table...

zhaowei121
23分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部