备案控制台
探索云世界
开发者社区 安全 文章 正文

配置Nginx网站https访问、http共存访问

2017-11-27 2137
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

最近公司一客户要求服务器与客户端之间传输内容是加密的,通过https协议访问,于是使用OpenSSL生成证书,默认情况下ssl模块并未被安装,如果要使用该模块则需要在编译nginx时指定–with-http_ssl_module参数,需要确保机器上安装了openssl和openssl-devel。


确认以上两点后就可以生成证书了

x509证书一般会用到三类文,key,csr,crt。

Key:私用密钥openssl格,通常是rsa算法。

Csr:证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。

crt:CA认证后的证书文,(windows下面的,其实是crt),签署人用自己的key给你签署的凭证。 

1.创建服务器私钥(key文件)

进入你想创建证书和私钥的目录

1
2
3
4
5
6
7
8
9
10
[root@localhost conf] # pwd
/app/nginx/conf
[root@localhost conf] # openssl genrsa -des3 -out server.key 1024
Generating RSA private key, 1024 bit long modulus
............++++++
..........................++++++
e is 65537 (0x10001)
Enter pass phrase  for  server.key:
Verifying - Enter pass phrase  for  server.key:
[root@localhost conf] #

运行时会提示输入至少四位的密码,此密码用于加密key文件(参数des3是指加密算法,当然也可以选用其他你认为安全的算法,openssl格式,1024位强度,有的证书是要2048。),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!

在加载SSL支持的Nginx并使用上述私钥时去除key文件口令的命令:openssl rsa -in server.key -out server.key

生成没有密码的key:openssl rsa -in server.key -out server.key 


2.创建签名请求的证书(CSR文件)

需要依次输入国家,地区,组织,email。最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
[root@localhost conf] # openssl req -new -key server.key -out server.csr 
Enter pass phrase  for  server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter  '.' , the field will be left blank.
-----
Country Name (2 letter code) [XX]:sh
State or Province Name (full name) []:shanghai
Locality Name (eg, city) [Default City]:shanghai
Organization Name (eg, company) [Default Company Ltd]:51cto
Organizational Unit Name (eg, section) []:51cto
Common Name (eg, your name or your server's  hostname ) []:pvbutler.blog.51cto.com
Email Address []:justin@blog.51cto.com
 
Please enter the following  'extra'  attributes
to be sent with your certificate request
A challenge password []:csdp
An optional company name []:51cto
[root@localhost conf] #

在加载SSL支持的Nginx并使用上述私钥时除去必须的口令:

1
2
3
4
5
[root@localhost conf] # cp server.key server.key.org
[root@localhost conf] # openssl rsa -in server.key.org -out server.key
Enter pass phrase  for  server.key.org:
writing RSA key
[root@localhost conf] #

标记证书使用上述私钥和CSR:

1
2
3
4
5
[root@localhost conf] # openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject= /C =sh /ST =shanghai /L =shanghai /O =51cto /OU =51cto /CN =pvbutler.blog.51cto.com /emailAddress =justin@blog.51cto.com
Getting Private key
[root@localhost conf] #

这样就生成了私用密钥:server.key和自己认证的SSL证书:server.crt。

也可以使用下面命令:

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt

-CA选项指明用于被签名的csr证书,-CAkey选项指明用于签名的密钥,-CAserial指明序列号文件,而-CAcreateserial指明文件不存在时自动生成。

证书合并:cat server.key server.crt > server.pema

修改Nginx配置文件,让其包含新标记的证书和私钥:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@localhost conf] # cp nginx.conf{,20160919bak}
[root@localhost conf] # vim nginx.conf
  server {
         #指定虚拟主机的服务端口
         listen 443;
 
         #指定IP地址或者域名
         server_name pvbutler.blog.51cto.com;
         ssl on;
         ssl_certificate  /app/nginx/conf/server .crt;
         ssl_certificate_key  /app/nginx/conf/server .key;
         #设定本虚拟主机的访问日志
         access_log  /app/nginx/logs/access_fund .log fund;
         }
  [root@localhost conf] # service nginx restart

这样就可以通过https://10.10.2.83/方式访问:


wKiom1fd-QyzvRBMAAEeJ-z9G1E341.pngwKiom1fd-M_x4vZGAACLRWEGXA8977.png

 如果出现“[emerg] 10464#0: unknown directive "ssl" in /app/nginx/conf/nginx.conf:74”则说明没有将ssl模块编译进nginx,在configure的时候加上“--with-http_ssl_module”即可^^


这样生成的证书,访问都会提示安全认证,如何让浏览器信任自己颁发的证书呢?

控制面板 -> Internet选项 -> 内容 -> 发行者 -> 受信任的根证书颁发机构 -> 导入 -》选择server.crt

如果要不出现这样的提示,需要到第三方ssl证书提供商处购买。具体申请过程

可以询问证书商。

实现https和http共存访问

上面的配置后只能通过https访问,下面的配置实现https和http共存。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
  [root@localhost conf] # vim nginx.conf
  server {
         #指定虚拟主机的服务端口
         listen 80;
         listen 443 ssl;
 
         #指定IP地址或者域名
         server_name pvbutler.blog.51cto.com;
         #ssl on;   #这行一定要注释掉
         ssl_certificate  /app/nginx/conf/server .crt;
         ssl_certificate_key  /app/nginx/conf/server .key;
         ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
         ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
         ssl_session_cache    shared:SSL:1m;
         ssl_session_timeout  5m;
         ssl_prefer_server_ciphers  on;
         #设定本虚拟主机的访问日志
         access_log  /app/nginx/logs/access_fund .log fund;
   [root@localhost conf] # service nginx restart

用http和https访问同一个链接,应该都可以访问了。

SSL/TLS 系列中有五种协议:SSL v2,SSL v3,TLS v1.0,TLS v1.1和TLS v1.2:SSL v2 是不安全的,不能使用。此协议版本非常糟糕,即使它们位于完全不同的服务器(DROWN 攻击)上也可以用来攻击具有相同名称的RSA 密钥和站点。当与 HTTP(POODLE 攻击)一起使用时,SSL v3是不安全的,当与其他协议一起使用时,SSL v3 是弱的。它也是过时的,不应该被使用。

TLS v1.0 也是不应该使用的传统协议,但在实践中通常仍然是必需的。其主要弱点(BEAST)在现代浏览器中得到缓解,但其他问题仍然存在。

TLS v1.1 和 v1.2 都没有已知的安全问题,只有 v1.2 提供了现代的加密算法。

TLS v1.2 应该是您的主要协议,因为它是唯一提供现代认证加密(也称为 AEAD)的版本。如果您今天不支持 TLS v1.2,则缺乏安全性。

为了支持较旧的客户端,您可能需要继续支持 TLS v1.0 和TLS v1.1。但是,您应该计划在不久的将来退出 TLS v1.0。例如,PCI DSS 标准将要求所有接受信用卡付款的网站在 2018 年 6 月之前移除对 TLS v1.0 的支持。目前正在开展设计 TLS v1.3 的工作,其目的是消除所有过时和不安全的功能,并进行改进,以保持我们的通信在未来几十年内的安全。


wKiom1kK6o_TjQ-cAAB4ww0JlNE819.png


本文转自 justin_peng 51CTO博客,原文链接:http://blog.51cto.com/ityunwei2017/1852142,如需转载请自行联系原作者

文章标签:
域名
应用服务中间件
数据安全/隐私保护
安全
Web App开发
算法
关键词:
Nginx配置
HTTP https
HTTPS HTTP
HTTPS访问
HTTP访问
相关实践学习
基于函数计算快速搭建Hexo博客系统
本场景介绍如何使用阿里云函数计算服务命令行工具快速搭建一个Hexo博客。
技术小阿哥
目录
相关文章
努力买大G
|
1月前
|
网络协议 Shell 网络安全
实验目的1.编译安装httpd2.优化路径3.并将鲜花网站上传到web服务器为网页目录4.在客户机访问网站http://www.bdqn.com
实验目的1.编译安装httpd2.优化路径3.并将鲜花网站上传到web服务器为网页目录4.在客户机访问网站http://www.bdqn.com
努力买大G
163 0
GG2020gg
|
7天前
|
运维 Java 应用服务中间件
Tomcat详解(七)——Tomcat使用https配置实战
Tomcat详解(七)——Tomcat使用https配置实战
GG2020gg
15 4
游客koxsy2lzz7wl4
|
10天前
|
域名解析 网络协议 应用服务中间件
阿里云服务器配置免费https服务
阿里云服务器配置免费https服务
游客koxsy2lzz7wl4
90 6
f5uiczgihkqhk
|
14天前
|
域名解析 网络协议 应用服务中间件
阿里云SSL证书配置(HTTPS证书配置)
该内容是一个关于如何在阿里云上准备和购买SSL证书,以及如何为网站启用HTTPS的步骤指南。首先,需要注册并实名认证阿里云账号,然后在SSL证书控制台选择证书类型、品牌和时长进行购买。申请证书时填写域名信息,并进行DNS验证,这包括在阿里云域名管理板块添加解析记录。完成验证后提交审核,等待证书审核通过并下载Nginx格式的证书文件。最后,将证书配置到网站服务器以启用HTTPS。整个过程涉及账户注册、实名认证、证书购买、DNS设置和证书下载及安装。
f5uiczgihkqhk
75 0
Y2000104
|
15天前
|
应用服务中间件 网络安全 nginx
nginx配置https访问
nginx配置https访问
Y2000104
26 0
风水道人
|
25天前
|
应用服务中间件 nginx
nginx配置https和直接访问静态文件的方式
nginx配置https和直接访问静态文件的方式
风水道人
28 3
Sunny_yiyi
|
26天前
|
前端开发 应用服务中间件 网络安全
http转为https,ssl证书安装及nginx配置
http转为https,ssl证书安装及nginx配置
Sunny_yiyi
40 1
w风雨无阻w
|
1月前
|
安全 网络安全 CDN
阿里云CDN HTTPS 证书配置流程
阿里云CDN HTTPS 证书配置流程
w风雨无阻w
167 1
谷艳爽faye
|
9月前
|
安全 网络协议 应用服务中间件
Nginx配置http跳转https
Nginx配置http跳转https
谷艳爽faye
269 0
w风雨无阻w
|
6月前
|
应用服务中间件 网络安全 nginx
Nginx学习研究-Nginx 安装 SSL 配置 HTTPS
Nginx学习研究-Nginx 安装 SSL 配置 HTTPS
w风雨无阻w
265 0

热门文章

最新文章

  • 1
    Nginx配置详解Docker部署Nginx使用Nginx部署vue前端项目
  • 2
    linxu安装nginx
  • 3
    使用Docker快速搭建Web服务器Nginx
  • 4
    Nginx学习使用
  • 5
    LNMP详解(九)——Nginx虚拟IP实战
  • 6
    阿里云ECS服务器上从零开始搭建nginx服务器
  • 7
    面试题:Nginx有哪些负载均衡算法?Nginx位于七层网络结构中的哪一层?
  • 8
    Nginx正向代理域名的配置
  • 9
    Nginx+Promtail+Loki+Grafana Nginx日志展示
  • 10
    LNMP详解(八)——Nginx动静分离实战配置
  • 1
    Servlet 教程 之 Servlet 服务器 HTTP 响应 3
    13
  • 2
    Servlet 教程 之 Servlet 客户端 HTTP 请求 2
    19
  • 3
    http和https的区别!
    6
  • 4
    TCP/IP、Http、Socket之间的区别
    28
  • 5
    数据采集时使用HTTP代理IP效率不高怎么办?
    13
  • 6
    【计算机协议】第一章——HTTP协议详解
    20
  • 7
    什么是http状态码?
    7
  • 8
    国外HTTP代理如何解决账号关联问题?
    10
  • 9
    深度剖析:Java网络编程中的TCP/IP与HTTP协议实践
    6
  • 10
    对象存储oss使用问题之flutter使用http库进行post请求文件上传返回400如何解决
    18

    • 相关课程

    更多
  • Nginx企业级Web服务实战
  • Java Web开发-Web应用、Tomcat、HTTP请求与响应
  • Linux Web服务器Nginx搭建与配置
  • 云安全基础课- HTTP协议基础

    • 相关电子书

    更多
  • CDN助力企业网站进入HTTPS时代
  • CentOS Nginx PHP JAVA 多语言镜像使用手
  • CentOS Nginx PHP JAVA多语言镜像使用手册

    • 相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
  • 日志服务之使用Nginx模式采集日志
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)