1、HTTPS协议的实现

1、为什么需要HTTPS?

原因:HTTP不安全

  • 1、传输数据被中间人盗用、信息泄露
  • 2、数据内容劫持、篡改

对传输内容进行加密以及身份验证

2、对称加密

非对称加密


3、HTTPS加密协议原理


4、中间人伪造客户端和服务端

证书是在客户端的,进行校验。

2、生成密钥和CA证书

#openssl version

OpenSSL 1.0.1e-fips 11 Feb 2013

#nginx-v

-with-http_ssl_module

步骤一、生成key密钥 

[root@web-01 ssl_key]# openssl genrsa -idea -out lewen.key 1024

Generating RSA private key, 1024 bit long modulus

......................................++++++

..............................++++++

e is 65537 (0x10001)

Enter pass phrase for lewen.key:                #密码要写.或者不写

Verifying - Enter pass phrase for lewen.key:

步骤二、生成证书签名请求文件(csr文件) 

[root@web-01 ssl_key]# openssl req -new -key lewen.key -out lewen.csr

Enter pass phrase for lewen.key:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:SZ

Locality Name (eg, city) [Default City]:futian

Organization Name (eg, company) [Default Company Ltd]:fadewalk

Organizational Unit Name (eg, section) []:fadewalk.com

Common Name (eg, your name or your server's hostname) []:fadewalk.com

Email Address []:fadewalk@163.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:        #没有要求就为空

An optional company name []:

[root@web-01 ssl_key]# ls

lewen.csr lewen.key

步骤三、生成证书签名文件(CA文件) 

[root@web-01 ssl_key]# openssl x509 -req -days 3650 -in lewen.csr -signkey lewen.key -out lewen.crt

Signature ok

subject=/C=CN/ST=SZ/L=futian/O=fadewalk/OU=fadewalk.com/CN=fadewalk.com/emailAddress=fadewalk@163.com

Getting Private key

Enter pass phrase for lewen.key:

[root@web-01 ssl_key]# ls

lewen.crt lewen.csr lewen.key











3、Nginx的HTTPS语法配置


  


  例子

  server {

        listen              443 ssl;

        keepalive_timeout   70;

        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;

        ssl_certificate     /usr/local/nginx/conf/cert.pem;

        ssl_certificate_key /usr/local/nginx/conf/cert.key;

        ssl_session_cache   shared:SSL:10m;

        ssl_session_timeout 10m;

        ...

    }

[root@web-01 ~]# nginx -s reload

nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/cp4/test_https.conf:4

key设置了密码,每次重启都要输入密码很麻烦



4、场景-配置苹果要求的证书


a、服务器所有的连接使用TLS1.2以上版本(openssl 1.0.2)

b、HTTPS证书必须使用SHA 256以上哈希算法签名

C、HTTPS证书必须使用RSA 2048位或ECC256位以上公钥算法

d、使用前向加密技术

查看证书信息

[root@web-01 ssl_key]# openssl x509 -noout -text -in ./lewen_apple.crt

一键生成证书





[root@web-01 ssl_key]# openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout lewen.key -out lewen_apple.crt

Generating a 2048 bit RSA private key

......................................................................................+++

..+++

writing new private key to 'lewen.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:guangdong

Locality Name (eg, city) [Default City]:sz

Organization Name (eg, company) [Default Company Ltd]:fadewlak

Organizational Unit Name (eg, section) []:

Common Name (eg, your name or your server's hostname) []:

Email Address []:

[root@web-01 ssl_key]# ls

lewen_apple.crt  lewen.key









nginx 1.15 以后开启ssl的正确姿势

2019/06/17 17:06:54 [warn] 36807#36807: the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/cp4/test_https.conf:4

不推荐使用“ssl”指令,而是在/etc/nginx/conf.d/cp4/test_https中使用“listen ... ssl”指令。CONF:4

ssl on 这种方式开启ssl已经不行了

listen 443 ssl     采用这种



测试网页自己生成的证书,会被提示不安全



去掉之前分步生成输入的保护码

openssl rsa -in ./lewen.key -out ./lewen_nopassword.key


5、HTTPS服务优化


方法一、激活keepalive长连接

方法二、设置ssl session缓存

server {

    listen 443 ssl;

    server_name web01.fadewalk.com;

    # ssl on;  nginx 1.15之后这样配置无效

    keepalive_timeout 100;

    ssl_session_cache shared:SSL:10m;

    ssl_session_timeout 10m;

    ssl_certificate /etc/nginx/ssl_key/lewen_apple.crt;

    ssl_certificate_key /etc/nginx/ssl_key/lewen.key;

    #ssl_certificate_key /etc/nginx/ssl_key/lewen_nopass.key;

    location / {

        root  /opt/app/code/cp4/code;

        index lewen.html lewen.htm;

    }

}





												


											
基于Nginx的https服务的更多相关文章
	

    
								
  1. 基于 Nginx 的 HTTPS 性能优化
		
    前言 分享一个卓见云的较多客户遇到HTTPS优化案例. 随着相关浏览器对HTTP协议的“不安全”.红色页面警告等严格措施的出台,以及向 iOS 应用的 ATS 要求和微信.支付宝小程序强制 HTTPS ...
    
		
    2. 
						
  2. 基于 Nginx 的 HTTPS 性能优化实践
		
    前言 分享一个卓见云的较多客户遇到HTTPS优化案例. 随着相关浏览器对HTTP协议的“不安全”.红色页面警告等严格措施的出台,以及向 iOS 应用的 ATS 要求和微信.支付宝小程序强制 HTTPS ...
    
		
    3. 
						
  3. 【HTTPS】自签CA证书 && nginx配置https服务
		
    首先,搭建https服务肯定需要一个https证书.这个证书可以看做是一个应用层面的证书.之所以这么说是因为https证书是基于CA证书生成的.对于正式的网站,CA证书需要到有资质的第三方证书颁发机构 ...
    
		
    4. 
						
  4. Nginx 配置https 服务
		
    一.HTTPS 服务 为什么需要HTTPS? 原因:HTTP不安全 1.传输数据被中间人盗用.信息泄露 2.数据内容劫持.篡改 HTTPS协议的实现 对传输内容进行加密以及身份验证 HTTPS加密校验 ...
    
		
    5. 
						
  5. centos7.x下环境搭建(五)—nginx搭建https服务
		
    https证书获取 十大免费SSL证书 https://blog.csdn.net/ithomer/article/details/78075006 如果我们用的是阿里云或腾讯云,他们都提供了免费版的 ...
    
		
    6. 
						
  6. .net core 跨平台开发 微服务架构  基于Nginx反向代理 服务集群负载均衡
		
    1.概述 反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客 ...
    
		
    7. 
						
  7. CentOS使用nginx部署https服务
		
    nginx安装参考:https://www.cnblogs.com/taiyonghai/p/6728707.html 自签证书生成参考:https://gmd20.github.io/blog/op ...
    
		
    8. 
						
  8. 阿里云中ssl配置(nginx安装https服务)
		
    1.配置 a.阿里云服务器 b.安装了nginx,php等 2.申请免费ssl证数 a. b. c.产看ssl证数 d.下载证数 e,这里我下载的是nginx(crt与key文件) f.服务器上配置  ...
    
		
    9. 
						
  9. 基于openssl的https服务配置
		
    环境: CA服务器:192.168.1.121 WEB服务器: 192.168.1.107 一.在CA服务器上生成自签证书 1.生成根私钥 (umask 077;openssl genrsa -out ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. mysql中的范式
			
    范式 范式:Normal Format,是一种离散数学中的知识,是为了解决数据的存储与优化的问题:保存数据的存储之后,凡是能够通过关系寻找出来的数据,坚决不再重复存储,终极目标是为了减少数据的冗余.范 ...
    
			
    2. 
						
  2. Java Mail 附件名太长导致接收端附件名解析出错
			
    问题前提:公司需要往邮件中写 excle 文件,返送成功后发现文件格式有误(如:xxxx.bat 等文件后缀),但是有些文件又不会, 后来发现是由于文件名称太长所导致. 问题原因:java mail中 ...
    
			
    3. 
						
  3. 区间动态规划 矩阵连乘 Medium
			
    The multiplication puzzle is played with a row of cards, each containing a single positive integer.  ...
    
			
    4. 
						
  4. POJ练习计划
			
    题目链接:https://cn.vjudge.net/article/348 2019/7/24: [POJ-1423] [题解] [POJ-1503] 模板题
    
			
    5. 
						
  5. 通过编写串口助手工具学习MFC过程——(五)添加CheckBox复选框
			
    通过编写串口助手工具学习MFC过程 因为以前也做过几次MFC的编程,每次都是项目完成时,MFC基本操作清楚了,但是过好长时间不再接触MFC的项目,再次做MFC的项目时,又要从头开始熟悉.这次通过做一个 ...
    
			
    6. 
						
  6. onehot编码解释
			
    什么是One-Hot编码? One-Hot编码,又称为一位有效编码,主要是采用N位状态寄存器来对N个状态进行编码,每个状态都由他独立的寄存器位,并且在任意时候只有一位有效. One-Hot编码是分类变 ...
    
			
    7. 
						
  7. MongoDB的使用学习之(六)MongoDB的高级查询之条件操作符
			
    此文分为两点,主要是在第二点--java 语法,但是按顺序必须先把原生态的语法写出来 (还有一篇文章也是不错的:MongoDB高级查询用法大全(包含MongoDB命令语法和Java语法,其实就是我整理 ...
    
			
    8. 
						
  8. Array.prototype
			
    Array.prototype  属性表示 Array 构造函数的原型,并允许您向所有Array对象添加新的属性和方法. /* 如果JavaScript本身不提供 first() 方法, 添加一个返回 ...
    
			
    9. 
						
  9. 002-printf 命令用法
			
    printf 命令的用法,大部分结合awk命令使用 是格式化的输出的命令 %s 输入字符串 \n 换行 \t \r 回车键 [root@zabbix lianxi]# printf %s [root@ ...
    
			
    10. 
						
  10. PAT Advanced 1065 A+B and C (64bit) (20 分)(关于g++和clang++修改后能使用)
			
    Given three integers A, B and C in [−], you are supposed to tell whether A+B>C. Input Specificati ...
    
			
    11.