1、HTTPS协议的实现

1、为什么需要HTTPS?

原因:HTTP不安全

  • 1、传输数据被中间人盗用、信息泄露
  • 2、数据内容劫持、篡改

对传输内容进行加密以及身份验证

2、对称加密

非对称加密


3、HTTPS加密协议原理


4、中间人伪造客户端和服务端

证书是在客户端的,进行校验。

2、生成密钥和CA证书

#openssl version

OpenSSL 1.0.1e-fips 11 Feb 2013

#nginx-v

-with-http_ssl_module

步骤一、生成key密钥 

[root@web-01 ssl_key]# openssl genrsa -idea -out lewen.key 1024

Generating RSA private key, 1024 bit long modulus

......................................++++++

..............................++++++

e is 65537 (0x10001)

Enter pass phrase for lewen.key:                #密码要写.或者不写

Verifying - Enter pass phrase for lewen.key:

步骤二、生成证书签名请求文件(csr文件) 

[root@web-01 ssl_key]# openssl req -new -key lewen.key -out lewen.csr

Enter pass phrase for lewen.key:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:SZ

Locality Name (eg, city) [Default City]:futian

Organization Name (eg, company) [Default Company Ltd]:fadewalk

Organizational Unit Name (eg, section) []:fadewalk.com

Common Name (eg, your name or your server's hostname) []:fadewalk.com

Email Address []:fadewalk@163.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:        #没有要求就为空

An optional company name []:

[root@web-01 ssl_key]# ls

lewen.csr lewen.key

步骤三、生成证书签名文件(CA文件) 

[root@web-01 ssl_key]# openssl x509 -req -days 3650 -in lewen.csr -signkey lewen.key -out lewen.crt

Signature ok

subject=/C=CN/ST=SZ/L=futian/O=fadewalk/OU=fadewalk.com/CN=fadewalk.com/emailAddress=fadewalk@163.com

Getting Private key

Enter pass phrase for lewen.key:

[root@web-01 ssl_key]# ls

lewen.crt lewen.csr lewen.key











3、Nginx的HTTPS语法配置


  


  例子

  server {

        listen              443 ssl;

        keepalive_timeout   70;

        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;

        ssl_certificate     /usr/local/nginx/conf/cert.pem;

        ssl_certificate_key /usr/local/nginx/conf/cert.key;

        ssl_session_cache   shared:SSL:10m;

        ssl_session_timeout 10m;

        ...

    }

[root@web-01 ~]# nginx -s reload

nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/cp4/test_https.conf:4

key设置了密码,每次重启都要输入密码很麻烦



4、场景-配置苹果要求的证书


a、服务器所有的连接使用TLS1.2以上版本(openssl 1.0.2)

b、HTTPS证书必须使用SHA 256以上哈希算法签名

C、HTTPS证书必须使用RSA 2048位或ECC256位以上公钥算法

d、使用前向加密技术

查看证书信息

[root@web-01 ssl_key]# openssl x509 -noout -text -in ./lewen_apple.crt

一键生成证书





[root@web-01 ssl_key]# openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout lewen.key -out lewen_apple.crt

Generating a 2048 bit RSA private key

......................................................................................+++

..+++

writing new private key to 'lewen.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:guangdong

Locality Name (eg, city) [Default City]:sz

Organization Name (eg, company) [Default Company Ltd]:fadewlak

Organizational Unit Name (eg, section) []:

Common Name (eg, your name or your server's hostname) []:

Email Address []:

[root@web-01 ssl_key]# ls

lewen_apple.crt  lewen.key









nginx 1.15 以后开启ssl的正确姿势

2019/06/17 17:06:54 [warn] 36807#36807: the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/cp4/test_https.conf:4

不推荐使用“ssl”指令,而是在/etc/nginx/conf.d/cp4/test_https中使用“listen ... ssl”指令。CONF:4

ssl on 这种方式开启ssl已经不行了

listen 443 ssl     采用这种



测试网页自己生成的证书,会被提示不安全



去掉之前分步生成输入的保护码

openssl rsa -in ./lewen.key -out ./lewen_nopassword.key


5、HTTPS服务优化


方法一、激活keepalive长连接

方法二、设置ssl session缓存

server {

    listen 443 ssl;

    server_name web01.fadewalk.com;

    # ssl on;  nginx 1.15之后这样配置无效

    keepalive_timeout 100;

    ssl_session_cache shared:SSL:10m;

    ssl_session_timeout 10m;

    ssl_certificate /etc/nginx/ssl_key/lewen_apple.crt;

    ssl_certificate_key /etc/nginx/ssl_key/lewen.key;

    #ssl_certificate_key /etc/nginx/ssl_key/lewen_nopass.key;

    location / {

        root  /opt/app/code/cp4/code;

        index lewen.html lewen.htm;

    }

}





												


											
基于Nginx的https服务的更多相关文章
	

    
								
  1. 基于 Nginx 的 HTTPS 性能优化
		
    前言 分享一个卓见云的较多客户遇到HTTPS优化案例. 随着相关浏览器对HTTP协议的“不安全”.红色页面警告等严格措施的出台,以及向 iOS 应用的 ATS 要求和微信.支付宝小程序强制 HTTPS ...
    
		
    2. 
						
  2. 基于 Nginx 的 HTTPS 性能优化实践
		
    前言 分享一个卓见云的较多客户遇到HTTPS优化案例. 随着相关浏览器对HTTP协议的“不安全”.红色页面警告等严格措施的出台,以及向 iOS 应用的 ATS 要求和微信.支付宝小程序强制 HTTPS ...
    
		
    3. 
						
  3. 【HTTPS】自签CA证书 && nginx配置https服务
		
    首先,搭建https服务肯定需要一个https证书.这个证书可以看做是一个应用层面的证书.之所以这么说是因为https证书是基于CA证书生成的.对于正式的网站,CA证书需要到有资质的第三方证书颁发机构 ...
    
		
    4. 
						
  4. Nginx 配置https 服务
		
    一.HTTPS 服务 为什么需要HTTPS? 原因:HTTP不安全 1.传输数据被中间人盗用.信息泄露 2.数据内容劫持.篡改 HTTPS协议的实现 对传输内容进行加密以及身份验证 HTTPS加密校验 ...
    
		
    5. 
						
  5. centos7.x下环境搭建(五)—nginx搭建https服务
		
    https证书获取 十大免费SSL证书 https://blog.csdn.net/ithomer/article/details/78075006 如果我们用的是阿里云或腾讯云,他们都提供了免费版的 ...
    
		
    6. 
						
  6. .net core 跨平台开发 微服务架构  基于Nginx反向代理 服务集群负载均衡
		
    1.概述 反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客 ...
    
		
    7. 
						
  7. CentOS使用nginx部署https服务
		
    nginx安装参考:https://www.cnblogs.com/taiyonghai/p/6728707.html 自签证书生成参考:https://gmd20.github.io/blog/op ...
    
		
    8. 
						
  8. 阿里云中ssl配置(nginx安装https服务)
		
    1.配置 a.阿里云服务器 b.安装了nginx,php等 2.申请免费ssl证数 a. b. c.产看ssl证数 d.下载证数 e,这里我下载的是nginx(crt与key文件) f.服务器上配置  ...
    
		
    9. 
						
  9. 基于openssl的https服务配置
		
    环境: CA服务器:192.168.1.121 WEB服务器: 192.168.1.107 一.在CA服务器上生成自签证书 1.生成根私钥 (umask 077;openssl genrsa -out ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 深入理解java:2.1. volatile的使用及其原理
			
    引言 在多线程并发编程中synchronized和Volatile都扮演着重要的角色,Volatile是轻量级的synchronized,它在多处理器开发中保证了共享变量的“可见性”. 可见性的意思是 ...
    
			
    2. 
						
  2. keystone验证安装
			
     以管理员的身份来请求鉴权的标识 keystone --os-tenant-name admin --os-username admin --os-password 123456 --os-auth- ...
    
			
    3. 
						
  3. DockerFile与镜像(Image)仓库
			
    深入Docker 之 Image: 当我们使用docker pull mysql 这个命令获取镜像的时候,到底他是怎么做的?我们登录官方提供的仓库看一下 https://github.com/dock ...
    
			
    4. 
						
  4. 这款多线程中间件,吊打 Redis!
			
    Java技术栈 www.javastack.cn 优秀的Java技术公众号 今天给大家介绍的是KeyDB,KeyDB项目是从redis fork出来的分支.众所周知redis是一个单线程的kv内存存储 ...
    
			
    5. 
						
  5. ccs中a链接的四种状态
			
    什么是超链接? 超链接通俗地指从一个网页指向一个目标的连接关系,这个目标可以是另一个网页,也可以是相同网页上的不同位置,还可以是一个图片,一个电子邮件地址,一个文件,甚至是一个应用程序.而在一个网页中 ...
    
			
    6. 
						
  6. HNUSTOJ 1601:名字缩写
			
    1601: 名字缩写 时间限制: 1 Sec  内存限制: 128 MB 提交: 288  解决: 80 [提交][状态][讨论版] 题目描述 Noname老师有一个班的学生名字要写,但是他太懒了,想 ...
    
			
    7. 
						
  7. 通过编写串口助手工具学习MFC过程——(六)添加Edit编辑框控件
			
    通过编写串口助手工具学习MFC过程 因为以前也做过几次MFC的编程,每次都是项目完成时,MFC基本操作清楚了,但是过好长时间不再接触MFC的项目,再次做MFC的项目时,又要从头开始熟悉.这次通过做一个 ...
    
			
    8. 
						
  8. HTML弹性布局
			
    1.弹性布局的使用 (1)  display:flex:给父容器添加这个属性: (2)  display:flex; 容器添加弹性布局后,显示为块级元素: display:inline-flex; 容 ...
    
			
    9. 
						
  9. vuex深入
			
    多模块  http://www.php.cn/js-tutorial-385084.html Vuex 模块化+命名空间后, 如何调用其他模块的 state, actions, mutations,  ...
    
			
    10. 
						
  10. Tomcat报java.io.IOException: Broken pipe错误
			
    Tomcat报java.io.IOException: Broken pipe错误,如下图: 解决方案:我的原因是因为网络策略导致出现该问题,即网络端口未启用或被限制.
    
			
    11.