1、HTTPS协议的实现

1、为什么需要HTTPS?

原因:HTTP不安全

  • 1、传输数据被中间人盗用、信息泄露
  • 2、数据内容劫持、篡改

对传输内容进行加密以及身份验证

2、对称加密

非对称加密


3、HTTPS加密协议原理


4、中间人伪造客户端和服务端

证书是在客户端的,进行校验。

2、生成密钥和CA证书

#openssl version

OpenSSL 1.0.1e-fips 11 Feb 2013

#nginx-v

-with-http_ssl_module

步骤一、生成key密钥 

[root@web-01 ssl_key]# openssl genrsa -idea -out lewen.key 1024

Generating RSA private key, 1024 bit long modulus

......................................++++++

..............................++++++

e is 65537 (0x10001)

Enter pass phrase for lewen.key:                #密码要写.或者不写

Verifying - Enter pass phrase for lewen.key:

步骤二、生成证书签名请求文件(csr文件) 

[root@web-01 ssl_key]# openssl req -new -key lewen.key -out lewen.csr

Enter pass phrase for lewen.key:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:SZ

Locality Name (eg, city) [Default City]:futian

Organization Name (eg, company) [Default Company Ltd]:fadewalk

Organizational Unit Name (eg, section) []:fadewalk.com

Common Name (eg, your name or your server's hostname) []:fadewalk.com

Email Address []:fadewalk@163.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:        #没有要求就为空

An optional company name []:

[root@web-01 ssl_key]# ls

lewen.csr lewen.key

步骤三、生成证书签名文件(CA文件) 

[root@web-01 ssl_key]# openssl x509 -req -days 3650 -in lewen.csr -signkey lewen.key -out lewen.crt

Signature ok

subject=/C=CN/ST=SZ/L=futian/O=fadewalk/OU=fadewalk.com/CN=fadewalk.com/emailAddress=fadewalk@163.com

Getting Private key

Enter pass phrase for lewen.key:

[root@web-01 ssl_key]# ls

lewen.crt lewen.csr lewen.key











3、Nginx的HTTPS语法配置


  


  例子

  server {

        listen              443 ssl;

        keepalive_timeout   70;

        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;

        ssl_certificate     /usr/local/nginx/conf/cert.pem;

        ssl_certificate_key /usr/local/nginx/conf/cert.key;

        ssl_session_cache   shared:SSL:10m;

        ssl_session_timeout 10m;

        ...

    }

[root@web-01 ~]# nginx -s reload

nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/cp4/test_https.conf:4

key设置了密码,每次重启都要输入密码很麻烦



4、场景-配置苹果要求的证书


a、服务器所有的连接使用TLS1.2以上版本(openssl 1.0.2)

b、HTTPS证书必须使用SHA 256以上哈希算法签名

C、HTTPS证书必须使用RSA 2048位或ECC256位以上公钥算法

d、使用前向加密技术

查看证书信息

[root@web-01 ssl_key]# openssl x509 -noout -text -in ./lewen_apple.crt

一键生成证书





[root@web-01 ssl_key]# openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout lewen.key -out lewen_apple.crt

Generating a 2048 bit RSA private key

......................................................................................+++

..+++

writing new private key to 'lewen.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:guangdong

Locality Name (eg, city) [Default City]:sz

Organization Name (eg, company) [Default Company Ltd]:fadewlak

Organizational Unit Name (eg, section) []:

Common Name (eg, your name or your server's hostname) []:

Email Address []:

[root@web-01 ssl_key]# ls

lewen_apple.crt  lewen.key









nginx 1.15 以后开启ssl的正确姿势

2019/06/17 17:06:54 [warn] 36807#36807: the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/cp4/test_https.conf:4

不推荐使用“ssl”指令,而是在/etc/nginx/conf.d/cp4/test_https中使用“listen ... ssl”指令。CONF:4

ssl on 这种方式开启ssl已经不行了

listen 443 ssl     采用这种



测试网页自己生成的证书,会被提示不安全



去掉之前分步生成输入的保护码

openssl rsa -in ./lewen.key -out ./lewen_nopassword.key


5、HTTPS服务优化


方法一、激活keepalive长连接

方法二、设置ssl session缓存

server {

    listen 443 ssl;

    server_name web01.fadewalk.com;

    # ssl on;  nginx 1.15之后这样配置无效

    keepalive_timeout 100;

    ssl_session_cache shared:SSL:10m;

    ssl_session_timeout 10m;

    ssl_certificate /etc/nginx/ssl_key/lewen_apple.crt;

    ssl_certificate_key /etc/nginx/ssl_key/lewen.key;

    #ssl_certificate_key /etc/nginx/ssl_key/lewen_nopass.key;

    location / {

        root  /opt/app/code/cp4/code;

        index lewen.html lewen.htm;

    }

}





												


											
基于Nginx的https服务的更多相关文章
	

    
								
  1. 基于 Nginx 的 HTTPS 性能优化
		
    前言 分享一个卓见云的较多客户遇到HTTPS优化案例. 随着相关浏览器对HTTP协议的“不安全”.红色页面警告等严格措施的出台,以及向 iOS 应用的 ATS 要求和微信.支付宝小程序强制 HTTPS ...
    
		
    2. 
						
  2. 基于 Nginx 的 HTTPS 性能优化实践
		
    前言 分享一个卓见云的较多客户遇到HTTPS优化案例. 随着相关浏览器对HTTP协议的“不安全”.红色页面警告等严格措施的出台,以及向 iOS 应用的 ATS 要求和微信.支付宝小程序强制 HTTPS ...
    
		
    3. 
						
  3. 【HTTPS】自签CA证书 && nginx配置https服务
		
    首先,搭建https服务肯定需要一个https证书.这个证书可以看做是一个应用层面的证书.之所以这么说是因为https证书是基于CA证书生成的.对于正式的网站,CA证书需要到有资质的第三方证书颁发机构 ...
    
		
    4. 
						
  4. Nginx 配置https 服务
		
    一.HTTPS 服务 为什么需要HTTPS? 原因:HTTP不安全 1.传输数据被中间人盗用.信息泄露 2.数据内容劫持.篡改 HTTPS协议的实现 对传输内容进行加密以及身份验证 HTTPS加密校验 ...
    
		
    5. 
						
  5. centos7.x下环境搭建(五)—nginx搭建https服务
		
    https证书获取 十大免费SSL证书 https://blog.csdn.net/ithomer/article/details/78075006 如果我们用的是阿里云或腾讯云,他们都提供了免费版的 ...
    
		
    6. 
						
  6. .net core 跨平台开发 微服务架构  基于Nginx反向代理 服务集群负载均衡
		
    1.概述 反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客 ...
    
		
    7. 
						
  7. CentOS使用nginx部署https服务
		
    nginx安装参考:https://www.cnblogs.com/taiyonghai/p/6728707.html 自签证书生成参考:https://gmd20.github.io/blog/op ...
    
		
    8. 
						
  8. 阿里云中ssl配置(nginx安装https服务)
		
    1.配置 a.阿里云服务器 b.安装了nginx,php等 2.申请免费ssl证数 a. b. c.产看ssl证数 d.下载证数 e,这里我下载的是nginx(crt与key文件) f.服务器上配置  ...
    
		
    9. 
						
  9. 基于openssl的https服务配置
		
    环境: CA服务器:192.168.1.121 WEB服务器: 192.168.1.107 一.在CA服务器上生成自签证书 1.生成根私钥 (umask 077;openssl genrsa -out ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Java多线程学习——join方法的使用
			
    join在线程里面意味着“插队”,哪个线程调用join代表哪个线程插队先执行——但是插谁的队是有讲究了,不是说你可以插到队头去做第一个吃螃蟹的人,而是插到在当前运行线程的前面,比如系统目前运行线程A, ...
    
			
    2. 
						
  2. MySQL数据库的连接池问题
			
    3. sqlalchemy设置连接池数量上限设置 SQLALCHEMY_POOL_SIZE = 100 SQLALCHEMY_MAX_OVERFLOW = 0 # 超出连接池数量的连接后,最多可以连接 ...
    
			
    3. 
						
  3. [转帖]同事推荐的的aira2
			
    Windows系统安装最新版Aria2客户端及使用教程 https://www.moerats.com/archives/519/ 改天学习一下. 说明:之前都是说的在Linux VPS服务器上安装A ...
    
			
    4. 
						
  4. 查看Dubbo服务-通过zk客户端
			
    一.基本概念 https://www.cnblogs.com/huasky/p/8268568.html 二.下载与安装 1.进入要下载的版本的目录,选择.tar.gz文件下载 下载链接:http:/ ...
    
			
    5. 
						
  5. 《剑指offer》面试题24 二叉搜索树的后序遍历序列 Java版
			
    (判断一个元素均不相同的序列是否为一个BST的LRD) 书中方法:首先对于二叉搜索树,左子树中的所有元素小于根节点小于右子树中的所有元素,然后后序遍历序列最后一个元素是根节点,这是我们已知的条件.这道 ...
    
			
    6. 
						
  6. P1313计算系数
			
    这是2011年提高组第一题,一个数论题.如果当年我去的话,就爆零了wuwuwu. 题目:(ax+by)^k中询问x^m*y^n这一项的系数是多少?拿到题我就楞了,首先便是想到DP,二维分别存次数代表系 ...
    
			
    7. 
						
  7. Android 开发环境部署
			
    引言   在windows安装Android的开发环境不简单也说不上算复杂,本文写给第一次想在自己Windows上建立Android开发环境投入Android浪潮的朋友们,为了确保大家能顺利完成开发环 ...
    
			
    8. 
						
  8. CPU与GPU,我们应该使用哪个?
			
    CPU与GPU,我们应该使用哪个? CPU与GPU CPU即中央处理器,GPU即图形处理器. 两者的相同之处:两者都有总线和外界联系,有自己的缓存体系,以及数字和逻辑运算单元 两者的区别之处:在于存在 ...
    
			
    9. 
						
  9. Apache 的 httpd.conf 配置文件
			
    http.conf 是 Apache 的配置文件,Apache 的常见配置主要是通过修该文件实现的,修改之后需要 重启 Apache 服务生效. Httpd.conf #Apache 安装目录 Ser ...
    
			
    10. 
						
  10. Win10 + Ubuntu 安装教程(痛苦踩坑)
			
    今天搞了一天,痛苦万分,本文的教程基本适用大部分情况,现在记录下需要主义的几点: 一.制作ubuntu usb安装盘的时候,格式要选saw的,千万不要用usb-HDD+的 二.安装完后使用EasyBC ...
    
			
    11.