一、Http與Https的區別
HTTP:是互聯網上應用最為廣泛的一種網絡協議,是一個客戶端和服務器端請求和應答的標準(TCP),用于從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議,它可以使瀏覽器更加高效,使網絡傳輸減少。
HTTPS:是以安全為目標的HTTP通道,簡單講是HTTP的安全版,即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。HTTPS協議的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性。
HTTPS和HTTP的區別主要如下:
1、https協議需要到ca申請證書,一般免費證書較少,因而需要一定費用。
2、http是超文本傳輸協議,信息是明文傳輸,https則是具有安全性的ssl加密傳輸協議。
3、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
4、http的連接很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,比http協議安全。
二、使用openssl生成證書
openssl是目前最流行的SSL密碼庫工具,其提供了一個通用、健壯、功能完備的工具套件,用以支持SSL/TLS協議的實現。
比如生成到:/usr/local/ssl
|
1
|
openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /usr/local/ssl/nginx.key -out /usr/local/ssl/nginx.crt |
生成過程:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
# openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /u sr/local/ssl/nginx.key -out /usr/local/ssl/nginx.crtGenerating a 2048 bit RSA private key...............................................................................+ ++...............+++writing new private key to '/usr/local/ssl/nginx.key'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:beijingLocality Name (eg, city) [Default City]:beijingOrganization Name (eg, company) [Default Company Ltd]:xxxxOrganizational Unit Name (eg, section) []:xxxxCommon Name (eg, your name or your server's hostname) []:xxxx(一般是域名)Email Address []:xxxx@xxxx.com# lltotal 8-rw-r--r--. 1 root root 1391 Apr 21 13:29 nginx.crt-rw-r--r--. 1 root root 1704 Apr 21 13:29 nginx.key |
三、Nginx安裝http_ssl_module模塊
Nginx如果未開啟SSL模塊,配置Https時提示錯誤。
nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:xxx
nginx缺少http_ssl_module模塊,編譯安裝的時候帶上--with-http_ssl_module配置就行了。
本場景是服務器已經安裝過nginx,但是未安裝http_ssl_module。
1.進入到源碼包,如:
|
1
|
cd /app/download/nginx-1.12.2 |
2.configure:
|
1
2
3
4
|
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module#可能需要的依賴包yum -y install pcre-devel openssl openssl-devel |
3.make:
|
1
|
make |
4.不需要執行make install,否則就覆蓋安裝了。
5.備份原有的nginx,如:
|
1
|
cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx_bak |
6.然后將剛剛編譯好的nginx覆蓋掉原有的nginx(nginx需要停止)
|
1
|
cp ./objs/nginx /usr/local/nginx/sbin/ |
7.查看安裝情況:
|
1
|
/usr/local/nginx/sbin/nginx -V |
|
1
2
3
4
5
|
nginx version: nginx/1.12.2built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)built with OpenSSL 1.0.2k-fips 26 Jan 2017TLS SNI support enabledconfigure arguments: --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module |
四、nginx配置https
貼部分配置信息:
|
1
2
3
4
5
6
|
server { listen 80; server_name www.yourdomain.com; rewrite ^(.*) https://$server_name$1 permanent; #http 跳轉 https } |
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
server { listen 443 ssl; server_name www.yourdomain.com; ssl_certificate /usr/local/ssl/nginx.crt; ssl_certificate_key /usr/local/ssl/nginx.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; #禁止在header中出現服務器版本,防止黑客利用版本漏洞攻擊 server_tokens off; #如果是全站 HTTPS 并且不考慮 HTTP 的話,可以加入 HSTS 告訴你的瀏覽器本網站全站加密,并且強制用 HTTPS 訪問 fastcgi_param HTTPS on; fastcgi_param HTTP_SCHEME https; access_log /usr/local/nginx/logs/httpsaccess.log;} |
先檢驗配置的對不對:
|
1
|
/usr/local/nginx/sbin/nginx -t |
|
1
2
|
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is oknginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful |
重啟nginx:
|
1
|
/usr/local/nginx/sbin/nginx -s reload |
訪問:
到此這篇關于Nginx下配置Https證書詳細過程的文章就介紹到這了,更多相關Nginx配置Https證書內容請搜索服務器之家以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持服務器之家!
原文鏈接:https://blog.csdn.net/smartdt/article/details/80027579
