最近机器人项目的子项目,由于和BAT中的一家进行合作,人家要求用HTTPS连接,于是乎,我们要改造我们的nginx的配置,加添HTTPS的支持。

当然了,HTTPS需要的证书,必须是认证机构颁发的,这里的配置实践,也是从技术路线上的一次操作,证书是基于openssl生成的。没有谁颁发,自建得之!

不多说,开始实践!!!!

1. openssl的版本信息

[root@localhost conf]# openssl version

OpenSSL 1.0.1e-fips  Feb

2. openresty的版本信息

[root@localhost sbin]# ./nginx -V

nginx version: openresty/1.11.2.2

built by gcc 4.8.  (Red Hat 4.8.-) (GCC)

built with OpenSSL 1.0.1u   Sep

TLS SNI support enabled

configure arguments: --prefix=/usr/local/openresty/nginx --with-cc-opt=-O2 --add-module=../ngx_devel_kit-0.3. --add-module=../echo-nginx-module-0.60 --add-module=../xss-nginx-module-0.05 --add-module=../ngx_coolkit-.2rc3 --add-module=../set-misc-nginx-module-0.31 --add-module=../form-input-nginx-module-0.12 --add-module=../encrypted-session-nginx-module-0.06 --add-module=../srcache-nginx-module-0.31 --add-module=../ngx_lua-0.10. --add-module=../ngx_lua_upstream-0.06 --add-module=../headers-more-nginx-module-0.32 --add-module=../array-var-nginx-module-0.05 --add-module=../memc-nginx-module-0.17 --add-module=../redis2-nginx-module-0.13 --add-module=../redis-nginx-module-0.3. --add-module=../rds-json-nginx-module-0.14 --add-module=../rds-csv-nginx-module-0.07 --with-ld-opt=-Wl,-rpath,/usr/local/openresty/luajit/lib --with-pcre=/opt/pcre-8.40 --with-openssl=/opt/openssl-1.0.1u --with-http_ssl_module

[root@localhost sbin]#

3. 创建服务器私钥,命令会提醒输入一个密码,必须输入(在nginx的conf所在的路径下进行操作,当然也可以在其他路径,需要配合后续的nginx的配置一起改变

[root@localhost conf]# openssl genrsa -des3 -out server.key

Generating RSA private key,  bit long modulus

..............................................................++

........................++

e is  (0x10001)

Enter pass phrase for server.key:

:error::lib():UI_set_result:result too small:ui_lib.c::You must type in  to  characters

Enter pass phrase for server.key:

:error::lib():UI_set_result:result too small:ui_lib.c::You must type in  to  characters

Enter pass phrase for server.key:

Verifying - Enter pass phrase for server.key:

[root@localhost conf]# ll

总用量

-rw-r--r--.  root root  3月    : fastcgi.conf

-rw-r--r--.  root root  3月    : fastcgi.conf.default

-rw-r--r--.  root root  3月    : fastcgi_params

-rw-r--r--.  root root  3月    : fastcgi_params.default

-rw-r--r--.  root root  3月    : koi-utf

-rw-r--r--.  root root  3月    : koi-win

-rw-r--r--.  root root  3月    : mime.types

-rw-r--r--.  root root  3月    : mime.types.default

-rw-r--r--.  root root  3月   : nginx.conf

-rw-r--r--.  root root  3月    : nginx.conf.default

-rw-r--r--.  root root   3月    : scgi_params

-rw-r--r--.  root root   3月    : scgi_params.default

-rw-r--r--   root root  7月   : server.key

-rw-r--r--.  root root   3月    : uwsgi_params

-rw-r--r--.  root root   3月    : uwsgi_params.default

-rw-r--r--.  root root  3月    : win-utf

4. 创建签名请求的证书(CSR)

[root@localhost conf]# openssl req -new -key server.key -out server.csr

Enter pass phrase for server.key:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name ( letter code) [XX]:cn

State or Province Name (full name) []:hubei

Locality Name (eg, city) [Default City]:wuhan

Organization Name (eg, company) [Default Company Ltd]:tk

Organizational Unit Name (eg, section) []:iflab

Common Name (eg, your name or your server's hostname) []:root

Email Address []:shihuc@.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:shihuc

An optional company name []:tk

[root@localhost conf]#

5. 在加载SSL支持的Nginx服务器上,使用上述私钥时除去必须的口令(注意,所谓除去,其实就是将必须的私钥密码写入到了私钥文件里面了,更新了原来的私钥文件)

[root@localhost conf]# cp server.key server.key.org

[root@localhost conf]#

[root@localhost conf]# openssl rsa -in server.key.org -out server.key

Enter pass phrase for server.key.org:

writing RSA key

[root@localhost conf]#

6. 通过openssl的x509指令生产证书文件

[root@localhost conf]# openssl x509 -req -days  -in server.csr -signkey server.key -out server.crt

Signature ok

subject=/C=cn/ST=hubei/L=wuhan/O=tk/OU=iflab/CN=root/emailAddress=shihuc@.com

Getting Private key

7. nginx的配置

# HTTPS server

#

server {

    listen        ssl;

    server_name  localhost;

    ssl_certificate      server.crt;

    ssl_certificate_key  server.key;

    ssl_session_cache    shared:SSL:1m;

    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;

    ssl_prefer_server_ciphers  on;

    location / {

        root   html/SSLROOT;

        index  index.html index.htm;

    }

}

在nginx的html目录下,创建SSLROOT目录,并在下面创建一个index.html的页面,用于测试。

<!DOCTYPE html>

<html>

<head>

<title>SHIHUC</title>

<style>

    body {

        width: 50em;

        margin:  auto;

        font-family: Tahoma, Verdana, Arial, sans-serif;

    }

</style>

</head>

<body>

<h1>欢迎来到SHIHUC的博客</h1>

<p>你好,你看到的这个页面是用来测试HTTPS的配置过程效果的。</p>

<a href="http://www.cnblogs.com/shihuc/">shihuc</a>.<br/>

<p><em>感谢关注SHIHUC的博客,欢迎交流.</em></p>

</body>

</html>

重启nginx。

在浏览器地址栏输入nginx的服务器地址

https://10.90.7.10

得到下面的效果:

注意,上面图中,地址栏出现红色的不安全提醒。

需要注意的是,注意:

A.  若没有第5步,直接进入第6步,则会在咨询x509指令时提醒用户输入私钥密码:

[root@localhost conf]# openssl x509 -req -days  -in server.csr -signkey server.key -out server.crt

Signature ok

subject=/C=cn/ST=hubei/L=wuhan/O=tk/OU=iflab/CN=root/emailAddress=shihuc@.com

Getting Private key

Enter pass phrase for server.key:
[root@localhost conf]#

B. 另外,在nginx启动的时候,也会提醒用户输入ssl的私钥密码

[root@localhost conf]# ./../sbin/nginx -s reload

Enter PEM pass phrase:

到此,基于openresty的nginx做https的配置,到此一个实践完成。其实很简单。重点是要熟悉下openssl的指令应用!

基于openresty的https配置实践的更多相关文章

  1. 基于winserver的Apollo配置中心分布式&集群部署实践(正确部署姿势)

    基于winserver的Apollo配置中心分布式&集群部署实践(正确部署姿势)   前言 前几天对Apollo配置中心的demo进行一个部署试用,现公司已决定使用,这两天进行分布式部署的时候 ...

  2. 基于OpenResty和Node.js的微服务架构实践

    什么是微服务? 传统的单体服务架构是单独服务包,共享代码与数据,开发成本较高,可维护性.伸缩性较差,技术转型.跨语言配合相对困难.而微服务架构强调一个服务负责一项业务,服务可以单独部署,独立进行技术选 ...

  3. 基于ZK构建统一配置中心的方案和实践

    背景: 近期使用Zk实现了一个简单的配置管理的小东西,在此开源出来,有兴趣的希望提出您的宝贵意见.如果恰巧您也使用或者接触过类似的东西, 也希望您可以分享下您觉得现在这个项目可以优化和改进的地方. 项 ...

  4. 基于Openresty+Naxsi的WAF:从小白到实践

    序 2019年2月18日,加入妈妈网,至今已经有四个月的时间,上周进到一个网关项目组,这个项目的主要目的是基于openResty+Naxsi实现WAF,相关技术初定涉及到openResty.Lua.N ...

  5. 【实战分享】又拍云 OpenResty / Nginx 服务优化实践

    2018 年 11 月 17 日,由 OpenResty 主办的 OpenResty Con 2018 在杭州举行.本次 OpenResty Con 的主题涉及 OpenResty 的新开源特性.业界 ...

  6. 基于 OpenResty 的动态服务路由方案

    2019 年 5 月 11 日,OpenResty 社区联合又拍云,举办 OpenResty × Open Talk 全国巡回沙龙武汉站,又拍云首席布道师在活动上做了< 基于 OpenResty ...

  7. 基于OpenResty与Consul实现服务网格ServiceMesh

    一.逻辑架构 1.基于OpenResty开发智能代理: 利用其动态可编程特性,动态化配置nginx服务路由: 2.需要向OpenResty添加weibo开源的upsync服务发现模块: 3.基于con ...

  8. 基于Neutron的Kubernetes SDN实践经验之谈

    首先,向大家科普下Kubernetes所选择的CNI网络接口,简单介绍下网络实现的背景. CNI即Container Network Interface,是一套容器网络的定义规范,包括方法规范.参数规 ...

  9. HelloTalk 基于 OpenResty 的全球化探索之路

    2019 年 12 月 14 日,又拍云联合 Apache APISIX 社区举办 API 网关与高性能服务最佳实践丨Open Talk 广州站活动,HelloTalk, Inc. 后台技术负责人李凌 ...

随机推荐

  1. 爬虫系列5:scrapy动态页面爬取的另一种思路

    前面有篇文章给出了爬取动态页面的一种思路,即应用Selenium+Firefox(参考<scrapy动态页面爬取>).但是selenium需要运行本地浏览器,比较耗时,不太适合大规模网页抓 ...

  2. 【Python】基础练习题-1

    #练习1:从键盘输入两个数,并比较其大小,直到输入e/E退出程序 while 1: input_number=raw_inut("please input two numbers,enter ...

  3. [转] Haproxy、Keepalived双主高可用负载均衡

    http://blog.chinaunix.net/uid-25266990-id-3989321.html 在测试了Nginx+Keepalived的负载均衡后,也对Haproxy+Keepaliv ...

  4. ORACLE函数、连接查询、约束

    *ORDER BY 子句在SELECT语句的结尾. 使用外连接可以查询不满足连接条件的数据 with字句 字符函数lower upper initcap concat substr length in ...

  5. 一些简单二分题,简单的hash,H(i),字符串题

    说在前面: 题是乱七八糟的. 几个二分的题. (但是我的做法不一定是二分,有些裸暴力. 1. Equations HDU - 1496 输入a,b,c,d问你这个方程有多少解.a*x1^2+b*x2^ ...

  6. display: table; 100%的宽度

    <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> ...

  7. python 闭包和迭代器

    一  函数名的运用:(函数名是一个变量,但它是一个特殊变量,与括号配合可以执行变量. (1) 函数名可以赋值给其他变量 def chi(): print("吃月饼") fn=chi ...

  8. ZOJ 1007:Numerical Summation of a Series(数学)

    Numerical Summation of a Series Time Limit: 10 Seconds      Memory Limit: 32768 KB      Special Judg ...

  9. Python数据结构——栈的链表实现

    自定义链表实现栈的数据结构,代码如下: class Stack: def __init__(self): self._first = None def push(self,item): self._f ...

  10. Hive错误:Error: FUNCTION 'NUCLEUS_ASCII' already exists. (state=X0Y68,code=30000)

    问题 初始化derby失败: [root@bigdata111 apache-hive-2.3.0-bin]# schematool -dbType derby -initSchemaSLF4J: C ...