日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
使用自簽發(fā)證書實現(xiàn)Nginx HTTPS

 為了互聯(lián)網安全HTTS化勢在必行,但是證書首先需要花錢購買,雖然有很多免費證書可以申請,但而且還必須要有個域名才能通過驗證。實際中我們有一些內部的系統(tǒng)或者某些測試環(huán)境沒有域名或者無需設置域名,這種情況下如何使用HTTPS呢,那就是本文蟲蟲要給大家介紹的自簽名證書方式。

安裝升級openSSL

OpenSSL是整個底層加密算法庫和工具的基礎。

我們的Web服務器要依賴它的類庫來實現(xiàn)SSL/TSL模塊和HTTPS的工作。在簽發(fā)證書時候也需要使用OpenSSL。在自簽名生成時候,我們可以使用其他更加專業(yè)的軟件,比如GPG,關于GPG使用我們以前文章中介紹過,大家可以參考歷史文章。本文為了方便,證書的簽發(fā)都用OpenSSL。

由于OpenSSL升級可能影響很多軟件,我們先不直接升級,而生成一個新版本的OpenSSL在/usr/local/ssl目錄,這樣不影響已有有版本的其他軟件。

首先下載新版本的OpenSSL,為了兼容我們選擇1.0.2系列版本:

 
 
 
 
      
  
  
  
  1. wget Url --no-check-certificate 
    2.   
  
  
  
  2. tar -zxvf openssl-*.tar.gz 
    3.   
  
  
  
  3. cd openssl-* 
    4.   
  
  
  
  4. ./config -fpic shared && make && make install 
    5.   
  
  
  
  5. echo "/usr/local/ssl/lib" >> /etc/ld.so.conf 
    6.   
  
  
  
  6. ldconfig 
    7.

生成自簽名證書

子簽名證書的使用商用證書一樣,不過證書需要自己生成。首先確保OpenSSL升級到新版本,或者通過yum update openssl升級確保解決已有的ssl漏洞。

 
 
 
 
      
  
  
  
  1. mkdir /etc/ssl 
    2.   
  
  
  
  2. chmod 700 /etc/ssl 
    3.   
  
  
  
  3. /usr/local/openssl/bin/openssl req -newkey rsa:2048 -nodes -keyout /etc/ssl/rsa_private.key -x509 -days 888 -out cert.crt -subj /C=CN/ST=BJ/L=CY/O=CC/OU=OP/CN=Chongchong/emailAddress=test@cc.info 
    4.

為了避免創(chuàng)建證書過程中的交互式信息填寫,我們此處使用-subj參數(shù)指定了一些參數(shù),實際使用中可以根據需要自己設置:

C=CN ← 國家代號,中國輸入CN

ST=BJ ← 州(省)名

L=CY ← 所在地市的名稱

O=CC ← 組織或者公司名稱

OU=OP ← 部門名稱

CN=Chongchong ← 通用名,可以是服務器域控名稱,或者個人的名字

emailAddress=test@cc.info ← 管理郵箱名

會生成網站私鑰rsa_private.key和網站證書cert.crt都準備完畢。證書的驗證可以在設置成功后。為了證書安全設置權限:

chmod 600 /etc/ssl/*

Nginx HTTPS安全配置

確保nginx使用新版本的nginx(目前版本為1.15.11,1.12.2),如果系統(tǒng)是用的其他應用服務器,一般做法是給新增加nginx做為反向代理,代理到應用服務器,比如tomcat,然后在Nginx反向代理商配置https。

新開一個虛擬主機,并在server{ .. . }段中設置:

注意nginx新語法中已經不使用ssl on;而是在listen語句中添加ssl;443為默認https端口,根據實際情況修改為別的。

listen *:443 ssl;

 
 
 
 
      
  
  
  
  1. ssl_certificate / etc/ssl/cert.crt; 
    2.   
  
  
  
  2. ssl_certificate_key / etc/ssl/rsa_private.key; 
    3.   
  
  
  
  3. ssl_protocols TLSv1.2; 
    4.   
  
  
  
  4. ssl_prefer_server_ciphers on; 
    5.   
  
  
  
  5. ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"; 
    6.   
  
  
  
  6. ssl_ecdh_curve secp384r1; 
    7.   
  
  
  
  7. ssl_session_cache shared:SSL:10m; 
    8.   
  
  
  
  8. ssl_session_tickets off; 
    9.   
  
  
  
  9. add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"; 
    10.

其中的路徑是剛剛生成的網站證書的路徑。根據網站實際情況配置可能有差異,我們可以使用Mozilla的服務器端TLS配置在線生成器,這個我們以前的文章中也提到過:

配置完成后,使用nginx命令檢測配置和重新加載Nginx:

檢測配置:

 
 
 
 
      
  
  
  
  1. nginx -t 
    2.

重新加載:

 
 
 
 
      
  
  
  
  1. nginx -s reload 
    2.

Nginx優(yōu)化配置

優(yōu)化Nginx性能

在http{.. .}中加入:

 
 
 
 
      
  
  
  
  1. ssl_session_cache shared:SSL:10m; 
    2.   
  
  
  
  2. ssl_session_timeout 10m; 
    3.

增加session緩存可以提高nginx處理https的性能。

在配置https的虛擬主機server{.. .}中加入:

 
 
 
 
      
  
  
  
  1. keepalive_timeout 70; 
    2.

設置超時,可以由于超時導致等待導致性能問題

fastcgi ssl配置

有時候啟用https后,有些php程序認證通過后,出現(xiàn)跳轉頁面錯誤錯誤,跳轉到http導致問題。

解決方法是定位至"location ~ .*.(php|php5)?${}"在include fcgi.conf;或者在fastcgi_param配置后面加上:

 
 
 
 
      
  
  
  
  1. fastcgi_param HTTPS on; 
    2.   
  
  
  
  2. fastcgi_param HTTP_SCHEME https; 
    3.

瀏覽器添加網站信任

使用自簽名的https證書,默認瀏覽器是拒絕訪問的,需要把該網站添加到瀏覽器信任列表才能訪問。

添加信任的方法:

firefox

點擊高級,將要訪問url添加到信任即可:

Chrome

Chrome設置類似,點擊高級

點擊繼續(xù)前往

證書驗證

查看我們自簽名的證書信息:

和第二部我們生成證書時候設置的參數(shù)一致。


分享名稱:使用自簽發(fā)證書實現(xiàn)Nginx HTTPS
網頁URL:http://www.5511xx.com/article/dhcicop.html