1、HTTPS协议的实现

1、为什么需要HTTPS?

原因:HTTP不安全

  • 1、传输数据被中间人盗用、信息泄露
  • 2、数据内容劫持、篡改

对传输内容进行加密以及身份验证

2、对称加密

非对称加密


3、HTTPS加密协议原理


4、中间人伪造客户端和服务端

证书是在客户端的,进行校验。

2、生成密钥和CA证书

#openssl version

OpenSSL 1.0.1e-fips 11 Feb 2013

#nginx-v

-with-http_ssl_module

步骤一、生成key密钥 

[root@web-01 ssl_key]# openssl genrsa -idea -out lewen.key 1024

Generating RSA private key, 1024 bit long modulus

......................................++++++

..............................++++++

e is 65537 (0x10001)

Enter pass phrase for lewen.key:                #密码要写.或者不写

Verifying - Enter pass phrase for lewen.key:

步骤二、生成证书签名请求文件(csr文件) 

[root@web-01 ssl_key]# openssl req -new -key lewen.key -out lewen.csr

Enter pass phrase for lewen.key:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:SZ

Locality Name (eg, city) [Default City]:futian

Organization Name (eg, company) [Default Company Ltd]:fadewalk

Organizational Unit Name (eg, section) []:fadewalk.com

Common Name (eg, your name or your server's hostname) []:fadewalk.com

Email Address []:fadewalk@163.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:        #没有要求就为空

An optional company name []:

[root@web-01 ssl_key]# ls

lewen.csr lewen.key

步骤三、生成证书签名文件(CA文件) 

[root@web-01 ssl_key]# openssl x509 -req -days 3650 -in lewen.csr -signkey lewen.key -out lewen.crt

Signature ok

subject=/C=CN/ST=SZ/L=futian/O=fadewalk/OU=fadewalk.com/CN=fadewalk.com/emailAddress=fadewalk@163.com

Getting Private key

Enter pass phrase for lewen.key:

[root@web-01 ssl_key]# ls

lewen.crt lewen.csr lewen.key











3、Nginx的HTTPS语法配置


  


  例子

  server {

        listen              443 ssl;

        keepalive_timeout   70;

        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;

        ssl_certificate     /usr/local/nginx/conf/cert.pem;

        ssl_certificate_key /usr/local/nginx/conf/cert.key;

        ssl_session_cache   shared:SSL:10m;

        ssl_session_timeout 10m;

        ...

    }

[root@web-01 ~]# nginx -s reload

nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/cp4/test_https.conf:4

key设置了密码,每次重启都要输入密码很麻烦



4、场景-配置苹果要求的证书


a、服务器所有的连接使用TLS1.2以上版本(openssl 1.0.2)

b、HTTPS证书必须使用SHA 256以上哈希算法签名

C、HTTPS证书必须使用RSA 2048位或ECC256位以上公钥算法

d、使用前向加密技术

查看证书信息

[root@web-01 ssl_key]# openssl x509 -noout -text -in ./lewen_apple.crt

一键生成证书





[root@web-01 ssl_key]# openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout lewen.key -out lewen_apple.crt

Generating a 2048 bit RSA private key

......................................................................................+++

..+++

writing new private key to 'lewen.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:guangdong

Locality Name (eg, city) [Default City]:sz

Organization Name (eg, company) [Default Company Ltd]:fadewlak

Organizational Unit Name (eg, section) []:

Common Name (eg, your name or your server's hostname) []:

Email Address []:

[root@web-01 ssl_key]# ls

lewen_apple.crt  lewen.key









nginx 1.15 以后开启ssl的正确姿势

2019/06/17 17:06:54 [warn] 36807#36807: the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/cp4/test_https.conf:4

不推荐使用“ssl”指令,而是在/etc/nginx/conf.d/cp4/test_https中使用“listen ... ssl”指令。CONF:4

ssl on 这种方式开启ssl已经不行了

listen 443 ssl     采用这种



测试网页自己生成的证书,会被提示不安全



去掉之前分步生成输入的保护码

openssl rsa -in ./lewen.key -out ./lewen_nopassword.key


5、HTTPS服务优化


方法一、激活keepalive长连接

方法二、设置ssl session缓存

server {

    listen 443 ssl;

    server_name web01.fadewalk.com;

    # ssl on;  nginx 1.15之后这样配置无效

    keepalive_timeout 100;

    ssl_session_cache shared:SSL:10m;

    ssl_session_timeout 10m;

    ssl_certificate /etc/nginx/ssl_key/lewen_apple.crt;

    ssl_certificate_key /etc/nginx/ssl_key/lewen.key;

    #ssl_certificate_key /etc/nginx/ssl_key/lewen_nopass.key;

    location / {

        root  /opt/app/code/cp4/code;

        index lewen.html lewen.htm;

    }

}





												


											
基于Nginx的https服务的更多相关文章
	

    
								
  1. 基于 Nginx 的 HTTPS 性能优化
		
    前言 分享一个卓见云的较多客户遇到HTTPS优化案例. 随着相关浏览器对HTTP协议的“不安全”.红色页面警告等严格措施的出台,以及向 iOS 应用的 ATS 要求和微信.支付宝小程序强制 HTTPS ...
    
		
    2. 
						
  2. 基于 Nginx 的 HTTPS 性能优化实践
		
    前言 分享一个卓见云的较多客户遇到HTTPS优化案例. 随着相关浏览器对HTTP协议的“不安全”.红色页面警告等严格措施的出台,以及向 iOS 应用的 ATS 要求和微信.支付宝小程序强制 HTTPS ...
    
		
    3. 
						
  3. 【HTTPS】自签CA证书 && nginx配置https服务
		
    首先,搭建https服务肯定需要一个https证书.这个证书可以看做是一个应用层面的证书.之所以这么说是因为https证书是基于CA证书生成的.对于正式的网站,CA证书需要到有资质的第三方证书颁发机构 ...
    
		
    4. 
						
  4. Nginx 配置https 服务
		
    一.HTTPS 服务 为什么需要HTTPS? 原因:HTTP不安全 1.传输数据被中间人盗用.信息泄露 2.数据内容劫持.篡改 HTTPS协议的实现 对传输内容进行加密以及身份验证 HTTPS加密校验 ...
    
		
    5. 
						
  5. centos7.x下环境搭建(五)—nginx搭建https服务
		
    https证书获取 十大免费SSL证书 https://blog.csdn.net/ithomer/article/details/78075006 如果我们用的是阿里云或腾讯云,他们都提供了免费版的 ...
    
		
    6. 
						
  6. .net core 跨平台开发 微服务架构  基于Nginx反向代理 服务集群负载均衡
		
    1.概述 反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客 ...
    
		
    7. 
						
  7. CentOS使用nginx部署https服务
		
    nginx安装参考:https://www.cnblogs.com/taiyonghai/p/6728707.html 自签证书生成参考:https://gmd20.github.io/blog/op ...
    
		
    8. 
						
  8. 阿里云中ssl配置(nginx安装https服务)
		
    1.配置 a.阿里云服务器 b.安装了nginx,php等 2.申请免费ssl证数 a. b. c.产看ssl证数 d.下载证数 e,这里我下载的是nginx(crt与key文件) f.服务器上配置  ...
    
		
    9. 
						
  9. 基于openssl的https服务配置
		
    环境: CA服务器:192.168.1.121 WEB服务器: 192.168.1.107 一.在CA服务器上生成自签证书 1.生成根私钥 (umask 077;openssl genrsa -out ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. CNN文本分类
			
    CNN用于文本分类本就是一个不完美的解决方案,因为CNN要求输入都是一定长度的,而对于文本分类问题,文本序列是不定长的,RNN可以完美解决序列不定长问题, 因为RNN不要求输入是一定长度的.那么对于C ...
    
			
    2. 
						
  2. 应用安全 - 工具 - Adobe - Adobe Flash Player - 漏洞 - 汇总
			
    CVE-2018-4878 Date 类型软件漏洞可被用于钓鱼 影响范围Flash Player版本28.0.0.137以及之前的所有版本 复现 分析
    
			
    3. 
						
  3. 【Linux开发】Linux磁盘管理
			
    第八章 Linux磁盘管理 [查看磁盘或者目录的容量 df 和 du] df 查看已挂载磁盘的总容量.使用容量.剩余容量等,可以不加任何参数,默认是按k为单位显示的:df常用参数有 –i -h -k  ...
    
			
    4. 
						
  4. Fabric CA/数字证书管理
			
    MSP(Membership Service Provider)成员管理服务提供商 名词: 1.CSR(Cerificate Signing Request):证书签署请求文件 CSR里包含申请者的  ...
    
			
    5. 
						
  5. Python中文件读写之 w+  与 r+ 到底有啥区别?
			
    其实r 是只读,只能读不能写,这是很明确的,但是r+是可读写,变成r+后还没太明白到底加了什么,还是照样写不了,有没有这样的体验呢,如下代码,只读时 f = open("test.txt&q ...
    
			
    6. 
						
  6. TortoiseSVN-1.9.7 对应 eclipse svn 插件的 更新
			
    用TortoiseSVN在文件夹导入项目之后,用eclipse 导入发现没有SVN信息,无法同步工程.出现这个情况先不管 TortoiseSVN的版本,直接把eclipse的svn版本升级到最新. H ...
    
			
    7. 
						
  7. 《剑指offer》面试题27 二叉搜索树与双向链表 Java版
			
    (将BST改成排序的双向链表.) 我的方法一:根据BST的性质,如果我们中序遍历BST,将会得到一个从小到大排序的序列.如果我们将包含这些数字的节点连接起来,就形成了一个链表,形成双向链表也很简单.关 ...
    
			
    8. 
						
  8. 【Python】循环结构中的else
			
    else在循环结构中,只有循环正常结束后才执行else,如果使用break跳出了循环,不会执行else for i in range(0,10): print(i)else: print(" ...
    
			
    9. 
						
  9. hdu 2586  How far away ? ( 离线 LCA , tarjan )
			
    How far away ? Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)To ...
    
			
    10. 
						
  10. P2523 [HAOI2011]Problem c
			
    传送门 先考虑如何判断无解,设 $sum[i]$ 表示确定的人中,编号大于 $i$ 的人的人数 如果 $sum[i]>n-i+1$ 则无解,进一步考虑设 $f[i][j]$ 表示当前确定完编号大 ...
    
			
    11.