众所周知,我们在互联网上冲浪,一般都是使用的http协议(超文本传输协议),默认情况下数据是明文传送的,这些数据在传输过程中都可能会被捕获和窃听,因此是不安全的。https可以说是http协议的安全版,就是为了满足对安全性要求比较高的用户而设计的。如果您的邮件中有敏感数据,不希望被人窃听;如果您不希望被钓鱼网站盗用帐号信息,如果您希望您在使用邮箱的过程中更安全,那么我们推荐您使用https安全连接。
现在是我们要做一个网站 www2.rsyslor.org 要求通过https://www2.rsyslog.org进行访问.
www2.rsyslog.org 192.168.100.107
DNS 192.168.100.102
实验步骤
第一步、首先生成一对证书。
你需要使用到openssl命令,所以请确认系统已经安装过此包
RHEL6中在/etc/pki/tls/certs 目录有个脚本可以帮助我们简化证书生成的过程,所以
我们首先切换到此目录
- [root@rhel6u3-7 ~]# cd /etc/pki/tls/certs/
- [root@rhel6u3-7 certs]# make server.key //生成私钥
- umask 77 ; \
- /usr/bin/openssl genrsa -aes128 2048 > server.key
- Generating RSA private key, 2048 bit long modulus
- ..........+++
- .....................................+++
- e is 65537 (0x10001)
- Enter pass phrase:
- Verifying - Enter pass phrase:
- [root@rhel6u3-7 certs]# openssl rsa -in server.key -out server.key //除去密码以便询问时不需要密码
- Enter pass phrase for server.key:
- writing RSA key
- [root@rhel6u3-7 certs]# make server.csr //生成证书颁发机构,用于颁发公钥
- umask 77 ; \
- /usr/bin/openssl req -utf8 -new -key server.key -out server.csr
- You are about to be asked to enter information that will be incorporated
- into your certificate request.
- What you are about to enter is what is called a Distinguished Name or a DN.
- There are quite a few fields but you can leave some blank
- For some fields there will be a default value,
- If you enter '.', the field will be left blank.
- -----
- Country Name (2 letter code) [XX]:cn
- State or Province Name (full name) []:sh
- Locality Name (eg, city) [Default City]:sh
- Organization Name (eg, company) [Default Company Ltd]:rsyslog
- Organizational Unit Name (eg, section) []:rsyslog
- Common Name (eg, your name or your server's hostname) []:xiaonuo
- Email Address []:unix.root@hotmail.com
- Please enter the following 'extra' attributes
- to be sent with your certificate request
- A challenge password []:123.com
- An optional company name []:it
- [root@rhel6u3-7 certs]# openssl x509 -in server.csr -req -signkey server.key -days 365 -out server.crt //颁发公钥,不过由于我们并不是去CA证书中心申请的公钥,所以在使用的时候,客户端浏览器会跳出未受信任的警告。如果你在生产环境下,请去CA申请。
- Signature ok
- subject=/C=cn/ST=sh/L=sh/O=rsyslog/OU=rsyslog/CN=xiaonuo/emailAddress=unix.root@hotmail.com
- Getting Private key
- [root@rhel6u3-7 certs]#
第二步、编辑nginx主配置文件,添加ssl模块参数
- [root@rhel6u3-7 certs]# vim /usr/local/nginx/conf/nginx.conf
- include /usr/local/nginx/server/www2.rsyslog.org; //将虚拟主机单独设置,然后用include包含到主配置文件中,简化主配置文件的配置
- [root@rhel6u3-7 certs]# vim /usr/local/nginx/server/www2.rsyslog.org //注意以下配置可以在主配置文件中复制ssl模块信息
- server {
- listen 443; 监听端口为443
- server_name www2.rsyslog.org;
- ssl on; //开启ssl
- ssl_certificate /etc/pki/tls/certs/server.crt; //证书位置
- ssl_certificate_key /etc/pki/tls/certs/server.key; //私钥位置
- ssl_session_timeout 5m;
- ssl_protocols SSLv2 SSLv3 TLSv1; //指定密码为openssl支持的格式
- ssl_ciphers HIGH:!aNULL:!MD5; //密码加密方式
- ssl_prefer_server_ciphers on; //依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码
- location / {
- root sites/www2; //www2.rsyslog.org根目录的相对位置
- index index.html index.htm;
- }
- }
第三步、创建网站的目录、主页、权限。
- [root@rhel6u3-7 ~]# cd /usr/local/nginx/sites/
- [root@rhel6u3-7 sites]# mkdir www2 //创建网站根目录
- [root@rhel6u3-7 sites]# echo This is https://www2.rsyslog.org >www2/index.html //写个主测试页面
- [root@rhel6u3-7 server]# chown nginx. /usr/local/nginx/server/ -R //设置配置文件的属主和属组为nginx
- [root@rhel6u3-7 server]# chmod 600 /usr/local/nginx/server/ -R //设置配置文件的权限为600
- [root@rhel6u3-7 server]# chown nginx. /usr/local/nginx/sites/www2 –R //设置网站根目录的属主和属组为nginx
- [root@rhel6u3-7 server]# chmod 755 /usr/local/nginx/sites/www2 –R //设置网站根目录权限为755,其他人可以读取网站信息。
第四步、在DNS区域中添加主机A记录,有关DNS配置请参看http://dreamfire.blog.51cto.com/418026/1091943
- www2 A 192.168.100.107
第五步、启动nginx服务器。
- [root@rhel6u3-7 certs]# /etc/rc.d/init.d/nginx reload //平滑重启nginx保证网站不被中断
- nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
- nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
- Reloading nginx: [ OK ]
第六步、测试网站是否能够通过https访问
将PC机网卡的DNS更改为192.168.100.102
在IE浏览器中输入https://www2.rsyslog.org 进行测试。提示安全证书不受信任,是因为证书是本机模拟的。点击“仍然继续”即可。
本文转自凌激冰51CTO博客,原文链接:http://blog.51cto.com/dreamfire/1141302,如需转载请自行联系原作者
