HTTPS简单介绍

HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单来讲就是HTTP的安全版。即HTTP下增加SSL层,HTTPS的安全基础是SSL。因此加密的具体内容就须要SSL。
它是一个URI scheme(抽象标识符体系),句法类同http:体系,用于安全的http传输数据。https使用的默认port是443.

ssl证书

证书类型简单介绍

要设置安全server,使用公共钥创建一对公私钥对。大多数情况下。发送证书请求(包含自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA).CA验证证书请求及您的身份。然后将证书返回给您的安全server。

可是内网实现一个server端和client传输内容的加密,能够自己给自己颁发证书。仅仅须要忽略掉浏览器不信任的警报就可以!

由CA签署的证书为您的server提供两个重要的功能:
  • 浏览器会自己主动识别证书而且在不提示用户的情况下同意创建一个安全连接
  • 当一个CA生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。
  • 多数支持ssl的webserver都有一个CA列表,它们的证书会被自己主动接受。当一个浏览器遇到一个其授权CA并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接

生成ssl证书

  1. openssl genrsa -des3 -out wangzhengyi.key 2048

  1. openssl req -new -key wangzhengyi.key -out wangzhengyi.csr




创建一个自己签署的CA证书

  1. openssl req -new -x509 -days 3650 -key wangzhengyi_nopass.key -out wangzhengyi.crt



搭建https虚拟主机

虚拟主机配置文件

  1. upstream sslfpm {
  2. server 127.0.0.1:9000   weight=10   max_fails=3 fail_timeout=20s;
  3. }
  4. server {
  5. listen       192.168.1.*:443;
  6. server_name  192.168.1.*;
  7. #为一个server开启ssl支持
  8. ssl                  on;
  9. #为虚拟主机指定pem格式的证书文件
  10. ssl_certificate      /home/wangzhengyi/ssl/wangzhengyi.crt;
  11. #为虚拟主机指定私钥文件
  12. ssl_certificate_key  /home/wangzhengyi/ssl/wangzhengyi_nopass.key;
  13. #client可以反复使用存储在缓存中的会话參数时间
  14. ssl_session_timeout  5m;
  15. #指定使用的ssl协议
  16. ssl_protocols  SSLv3 TLSv1;
  17. #指定许可的password描写叙述
  18. ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
  19. #SSLv3和TLSv1协议的服务器password需求优先级高于clientpassword
  20. ssl_prefer_server_ciphers   on;
  21. location / {
  22. root   /home/wangzhengyi/ssl/;
  23. autoindex on;
  24. autoindex_exact_size    off;
  25. autoindex_localtime on;
  26. }
  27. # redirect server error pages to the static page /50x.html
  28. #
  29. error_page   500 502 503 504  /50x.html;
  30. error_page   404 /404.html;
  31. location = /50x.html {
  32. root   /usr/share/nginx/www;
  33. }
  34. location = /404.html {
  35. root   /usr/share/nginx/www;
  36. }
  37. # proxy the PHP scripts to fpm
  38. location ~ \.php$ {
  39. access_log  /var/log/nginx/ssl/ssl.access.log  main;
  40. error_log /var/log/nginx/ssl/ssl.error.log;
  41. root /home/wangzhengyi/ssl/;
  42. fastcgi_param   HTTPS   on;
  43. include /etc/nginx/fastcgi_params;
  44. fastcgi_pass    sslfpm;
  45. }
  46. }

HTTPSserver优化

方法

SSL操作须要消耗CPU资源。所以在多处理器的系统,须要启动多个工作进程,并且数量须要不少于可用CPU的个数。最消耗CPU资源的SSL操作是SSL握手。有两种方法能够将每一个client的握手操作数量降到最低:
  1. 保持client长连接。在一个SSL连接发送多个请求
  2. 在并发的连接或者兴许的连接中重用SSL会话參数,这样能够避免SSL握手操作。

会话缓存用于保存SSL会话,这些缓存在工作进程间共享,能够使用ssl_session_cache指令进行配置。

1M缓存能够存放约4000个会话。默认的缓存超时时间是5m。能够使用ssl_session_timeout加大它。


ssl_session_cache指令

  1. 语法:ssl_session_cache off|none|builtin:size|shared:name:size
  2. 使用环境:main,server
  3. 缓存类型:
  4. off -- 硬关闭,nginx明白告诉client这个会话不可重用
  5. none -- 软关闭,nginx告诉client会话可以被重用,可是nginx实际上不会重用它们
  6. bultin -- openssl内置缓存,仅可用于一个工作进程.可能导致内存碎片
  7. shared -- 全部工作进程的共享缓存。(1)缓存大小用字节数指定(2)每一个缓存必须拥有自己的名称(3)同名的缓存可用于多个虚拟主机

优化演示样例

  1. #优化ssl服务
  2. ssl_session_cache   shared:wzy:10m;
  3. #client可以反复使用存储在缓存中的会话參数时间
  4. ssl_session_timeout  10m;

參考链接

http://nginx.org/cn/docs/http/configuring_https_servers.html

nginx搭建httpsserver的更多相关文章

  1. nginx搭建http和rtmp协议的流媒体服务器

    nginx搭建http和rtmp协议的流媒体服务器 时间:2013-09-23 23:52来源:佚名 作者:本站 举报 点击:232次 实验目的:让Nginx支持flv和mp4格式文件,同时支持Rtm ...

  2. Nginx搭建flv视频点播服务器

    Nginx搭建flv视频点播服务器 前一段时间使用Nginx搭建的多媒体服务器只能在缓冲过的时间区域内拖放, 而不能拖放到未缓冲的地方. 这就带来了一个问题: 如果视频限速的速率很小, 那么客户端观看 ...

  3. Nginx搭建反向代理服务器

    [大型网站技术实践]初级篇:借助Nginx搭建反向代理服务器   一.反向代理:Web服务器的“经纪人” 1.1 反向代理初印象 反向代理(Reverse Proxy)方式是指以代理服务器来接受int ...

  4. 关于Symfony2+nginx搭建过程总结

    关于Symfony2+nginx搭建过程总结 最近在试着用nginx+symfony搭建公司的网站,由于nginx不支持pathinfo模式,所以必须修改nginx(我使用的是nginx1.5.1)的 ...

  5. 搭建rtmp直播流服务之1:使用nginx搭建rtmp直播流服务器(nginx-rtmp模块的安装以及rtmp直播流配置)

    欢迎大家积极开心的加入讨论群 群号:371249677 (点击这里进群) 一.方案简要 首先通过对开发方案的仔细研究(实时监控.流媒体.直播流方案的数据源-->协议转换-->服务器--&g ...

  6. Linux+.NetCore+Nginx搭建集群

    本篇和大家分享的是Linux+NetCore+Nginx搭建负载集群,对于netcore2.0发布后,我一直在看官网的文档并学习,关注有哪些新增的东西,我,一个从1.0到2.0的跟随者这里只总结一句话 ...

  7. 基于nginx搭建简易的基于wcf集群的复杂均衡

    很多情况下基于wcf的复杂均衡都首选zookeeper,这样可以拥有更好的控制粒度,但zk对C# 不大友好,实现起来相对来说比较麻烦,实际情况下,如果 你的负载机制粒度很粗糙的话,优先使用nginx就 ...

  8. Nginx 搭建图片服务器

    Nginx 搭建图片服务器 本章内容通过Nginx 和 FTP 搭建图片服务器.在学习本章内容前,请确保您的Linux 系统已经安装了Nginx和Vsftpd. Nginx 安装:http://www ...

  9. Ubuntu 14.10下基于Nginx搭建mp4/flv流媒体服务器(可随意拖动)并支持RTMP/HLS协议(含转码工具)

    Ubuntu 14.10下基于Nginx搭建mp4/flv流媒体服务器(可随意拖动)并支持RTMP/HLS协议(含转码工具) 最近因为项目关系,收朋友之托,想制作秀场网站,但是因为之前一直没有涉及到这 ...

随机推荐

  1. 8Manage PMP 项目管理工具

    范围与需求管理 8Manage 项目管理平台提供先进的机制集中管理项目的范围与需求: 提供需求申请功能:获取,过滤,解析和明确项目的需求 提供需求矩阵功能:整理分析需求并跟踪需求从开始到完成的整个过程 ...

  2. SharePoint _layouts下自定义程序页面权限管理

    在sharepoint中,_layouts下的自定义页面没有特别的权限,只要用户能访问sharepoint站点就可以访问_layouts下的自定义程序页面,现在我们需要给自定义页面做一下权限认证.要求 ...

  3. [leetcode]Gray Code @ Python

    原题地址:https://oj.leetcode.com/problems/gray-code/ 题意: The gray code is a binary numeral system where ...

  4. json字符串转JSONObject和JSONArray以及取值

    import net.sf.json.JSONArray; import net.sf.json.JSONObject; public class JsonTest { public static v ...

  5. Redis:解决分布式高并发修改同一个Key的问题

    本篇文章是通过watch(监控)+mutil(事务)实现应用于在分布式高并发处理等相关场景.下边先通过redis-cli.exe来测试多个线程修改时,遇到问题及解决问题. 高并发下修改同一个key遇到 ...

  6. thinkcmf 角色授权支持分类

    ThinkCMF中的权限是以后台菜单为基础来进行设置的(menu table),即如果你需要一个自定义的权限,那么你需要在后台菜单里添加一项菜单,然后在角色管理里可以针对角色进行授权   而现在遇到一 ...

  7. (转)Unity3D研究院之将场景导出XML或JSON或二进制并且解析还原场景

    自:http://www.xuanyusong.com/archives/1919 导出Unity场景的所有游戏对象信息,一种是XML一种是JSON.本篇文章我们把游戏场景中游戏对象的.旋转.缩放.平 ...

  8. Android Handler 消息处理使用

    本文内容 环境 演示 Handler 消息处理 参考资料 Handler 有两个主要作用或者说是步骤:发送消息和处理消息.在新启动的线程中发送消息,在主线程中获取.并处理消息.Android 平台只允 ...

  9. iOS开发技巧 - 使用UIDatePicker来选择日期和时间

    (Swift) import UIKit class ViewController: UIViewController { var datePicker: UIDatePicker! func dat ...

  10. Python编程-数据库-利用PyMysql访问windows下的MySql数据库

    1. 下载PyMysql并且安装 下载地址 下载zip包后解压到目录,进入该目录,执行以下命令安装 python setup.py install 2. 编写一个简单的数据库访问程序 simple_m ...