文档章节

Nginx开启SSL支持HTTPS访问(自签名方法)

openthings
 openthings
发布于 08/18 06:27
字数 1549
阅读 18
收藏 1

Nginx开启SSL支持HTTPS访问(自签名方法)

超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。HTTPS不应与在RFC 2660中定义的安全超文本传输协议(S-HTTP)相混。

HTTPS 目前已经是所有注重隐私和安全的网站的首选,随着技术的不断发展,HTTPS 网站已不再是大型网站的专利,所有普通的个人站长和博客均可以自己动手搭建一个安全的加密的网站。如果访问的一个网站没有加密,那么你输入的所有帐号密码都是明文传输,可以被拦截读取,因此在涉及到隐私和金融等高保密环境,是必须要使用HTTPS加密的。

目前对我们来说证书有两种方式:

  • 一种是自签名证书,一种是经过各大浏览器系统认证支持的CA证书,如果使用自签名证书,虽然数据传输仍然是加密的,但是在用户浏览器上,会弹出证书错误提示因此最好还是使用第三方认证的SSL 证书。
  • 目前对我们来说还是有一些免费证书机构提供这个认证的,比如Let’s Encrypt 的免费证书,虽然要3个月重签一次,不过是一直免费的,Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS。
  • 当然如果你网站是商业用的要求有稳定的HTTPS安全环境,其实是可以买商用的SSL证书的,比如GODADDY的SSL也不贵。
  • 更多Nginx攻略:https://www.bnxb.com/nginx/

自签名方式

如需要受浏览器信任的证书安装方式,可以看这里:Nginx开启SSL支持HTTPS访问(使用Let's Encrypt免费证书)

先教你自签名的方式,虽然这个很鸡肋,在有免费证书可以用的情况下,基本没人用了:

1、首先机器上要安装openssl和openssl-devel

#yum install openssl
#yum install openssl-devel

2、自己颁发证书给自己

①进入目录

#cd /usr/local/nginx/conf

②创建服务器RSA私钥,命令会让你输入一个口令:

#openssl genrsa -des3 -out server.key 1024

③创建签名请求的证书(CSR):这里会提示输入省份(State / Province)、城市(City)、域名信息等,重要的是,email一定要是你的域名后缀的。这样就有一个 csr 文件了,提交给 ssl 提供商的时候就是这个 csr 文件。当然我这里并没有向证书提供商申请,下一步我们自己签发了证书。

#openssl req -new -key server.key -out server.csr

④在加载SSL支持的Nginx并使用上述私钥时除去必须的口令:

#openssl rsa -in server.key -out server_nopwd.key

⑤标记证书使用上述私钥和CSR:

#openssl x509 -req -days 365 -in server.csr -signkey server_nopwd.key -out server.crt

到这里证书已经生成完毕。

3、配置nginx,修改Nginx配置文件,让其包含新标记的证书和私钥:

server {
    listen 443;
    ssl on;
    ssl_certificate  /usr/local/nginx/conf/server.crt;
    ssl_certificate_key  /usr/local/nginx/conf/server_nopwd.key;
}

加上括号内的语句,然后重启nginx。

  • 另外如果出现“[emerg] 10464#0: unknown directive “ssl” in /usr/local/nginx-0.6.32/conf/nginx.conf:74”则说明没有将ssl模块编译进nginx,在编译configure的时候需加上"–with-http_ssl_module"。
  • 另外还可以加入如下代码实现80端口301重定向到443,
server {
  listen 80;
  server_name www.bnxb.com;
  rewrite ^(.*) https://$server_name$1 permanent;
}

到这里就配置完成,可以用https://www.bnxb.com这种方式访问你的网站了,但是因为这里是自签名证书,浏览器没办法验证证书真伪,因此如果要去除浏览器访问的证书错误提示,可以把之前生成的server.crt文件使用winscp之类的SSH下载软件下载下来,导入到你电脑系统的证书管理器就行了,具体方法:控制面板 -> Internet选项 -> 内容 -> 发行者 -> 受信任的根证书颁发机构 -> 导入 -》选择server.crt。

  • 注意 https访问的是443端口,所以iptables要放开这个口,才可以。

只针对注册、登陆进行https加密处理

既然HTTPS能保证安全,为什么全世界大部分网站都仍旧在使用HTTP呢?使用HTTPS协议,对服务器来说是很大的负载开销。从性能上考虑,我 们无法做到对于每个用户的每个访问请求都进行安全加密(当然,Google这种大神除外)。作为一个普通网站,我们所追求的只是在进行交易、密码登陆等操 作时的安全。通过配置Nginx服务器,可以使用rewrite来做到这一点。

在https server下加入如下配置:

if ($uri !~* "/logging.php$")
{
    rewrite ^/(.*)$ http://$host/$1 redirect;
}

在http server下加入如下配置:

if ($uri ~* "/logging.php$")
{
    rewrite ^/(.*)$ https://$host/$1 redirect;
}

这样一来,用户会且只会在访问logging.php的情况下,才会通过https访问。

  • 更新:
    • 有一些开发框架会根据 $_SERVER['HTTPS'] 这个 PHP 变量是否为 on 来判断当前的访问请求是否是使用 https。为此我们需要在 Nginx 配置文件中添加一句来设置这个变量。遇到 https 链接重定向后会自动跳到 http 问题的同学可以参考一下。
server {
    ...
    listen 443;
    location \.php$ {
        ...
        include fastcgi_params;
        fastcgi_param HTTPS on; # 多加这一句
    }
}

server {
    ...
    listen 80;
    location \.php$ {
        ...
        include fastcgi_params;
    }
}

完毕。

本文转载自:https://www.bnxb.com/nginx/26919.html

共有 人打赏支持
openthings
粉丝 273
博文 1007
码字总数 542388
作品 1
东城
架构师
私信 提问
加载中

评论(2)

openthings
openthings

引用来自“OS飞浪”的评论

用点心,把标题改对
modified,thanks.
OS飞浪
OS飞浪
用点心,把标题改对
Kubernetes的HTTPS和证书问题,汇总

通过Kubernetes建立服务网站,需要干的事情和HTTPS和证书问题,汇总如下: 建立Nginx服务器 搞服务器第一步,Ubuntu 18.04设置静态IP 安装Nginx服务。 Kubernetes的deployment使用 创建服务,...

openthings
08/18
0
0
Linux下nginx配置https协议访问的方法

一、配置nginx支持https协议访问,需要在编译安装nginx的时候添加相应的模块--with-httpsslmodule 查看nginx编译参数:/usr/local/nginx/sbin/nginx -V 如下所示: configure arguments: --p...

zyt_1978
2016/12/14
24
0
Nginx之Https 证书加密

1.1检查Nginx的SSL模块是否安装 [root@web-node1~]# /application/nginx/sbin/nginx -Vnginx version: nginx/1.6.3built by gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)TLS SNI support e......

邱月涛
2017/08/10
0
0
使用openssl生成自签名证书以及nginx ssl双向验证

一、服务器端证书生成 1、生成服务器端的私钥 openssl genrsa -des3 -out server.key 2048 命令完成后会提示让输入密码,这个密码是通过des3(也可以采用其他加密算法)加密此密钥文件的,如...

二两豆腐
2016/03/15
2.1K
0
NGINX开启HTTPS最佳实践

1.1检查Nginx的SSL模块是否安装 [root@web-node1 ~]# /application/nginx/sbin/nginx -V nginx version: nginx/1.6.3 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC) TLS SNI suppo......

zhiqiangw
2016/11/26
18
0

没有更多内容

加载失败,请刷新页面

加载更多

Confluence 6 教程:在 Confluence 中导航

当你对 Confluence 有所了解后,你会发现 Confluence 使用起来非常简单。这个教程主要是针对你使用的 Confluence 界面进行一些说明,同时向你展示在那里可以进行一些通用的任务和操作。 空间...

honeymose
52分钟前
2
0
sed, awk 练习

1. sed打印某行到某行之间的内容 2. sed 转换大小写 将单词首字母转化大写 将所有小写转化大写 3. sed 在某一行最后面添加一个数字 4. 删除某行到最后一行 解析: {:a;N;$!ba;d} :a : 是...

Fc丶
今天
2
0
babel6升级到7,jest-babel报错:Requires Babel "^7.0.0-0", but was loaded with "6.26.3".

自从将前端环境更新到babel7,jest-babel之前是基于babel6的,执行时候就会报:Requires Babel "^7.0.0-0", but was loaded with "6.26.3". 很烦,因为连续帮好几台电脑修复这个问题,所以记...

曾建凯
今天
1
0
探索802.11ax

802.11ax承诺在真实条件下改善峰值性能和最差情况。 如何改善今天的Wi-Fi? 在决定如何改进当前版本以外的Wi-Fi时,802.11ac,IEEE和Wi-Fi联盟调查了Wi-Fi部署和行为,以确定更广泛使用的障碍...

linuxprobe16
今天
2
0
使用linux将64G的SDCARD格式化为FAT32

一、命令如下: sudo fdisk -lsudo mkfs.vfat /dev/sda -Isudo fdisk /dev/sda Welcome to fdisk (util-linux 2.29.2). Changes will remain in memory only, until you decide to wri......

mbzhong
今天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部