nginx搭建httpsserver

HTTPS简单介绍

HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道，简单来讲就是HTTP的安全版。即HTTP下增加SSL层，HTTPS的安全基础是SSL。因此加密的具体内容就须要SSL。

它是一个URI scheme（抽象标识符体系），句法类同http:体系，用于安全的http传输数据。https使用的默认port是443.

ssl证书

证书类型简单介绍

要设置安全server，使用公共钥创建一对公私钥对。大多数情况下。发送证书请求（包含自己的公钥），你的公司证明材料以及费用到一个证书颁发机构(CA).CA验证证书请求及您的身份。然后将证书返回给您的安全server。

可是内网实现一个server端和client传输内容的加密，能够自己给自己颁发证书。仅仅须要忽略掉浏览器不信任的警报就可以！

由CA签署的证书为您的server提供两个重要的功能：

• 浏览器会自己主动识别证书而且在不提示用户的情况下同意创建一个安全连接
• 当一个CA生成一个签署过的证书，它为提供网页给浏览器的组织提供身份担保。
• 多数支持ssl的webserver都有一个CA列表，它们的证书会被自己主动接受。当一个浏览器遇到一个其授权CA并不在列表中的证书，浏览器将询问用户是否接受或拒绝连接

生成ssl证书

1. openssl genrsa -des3 -out wangzhengyi.key 2048

1. openssl req -new -key wangzhengyi.key -out wangzhengyi.csr

创建一个自己签署的CA证书

1. openssl req -new -x509 -days 3650 -key wangzhengyi_nopass.key -out wangzhengyi.crt

搭建https虚拟主机

虚拟主机配置文件

1. upstream sslfpm {
2. server 127.0.0.1:9000   weight=10   max_fails=3 fail_timeout=20s;
3. }
4. server {
5. listen       192.168.1.*:443;
6. server_name  192.168.1.*;
7. #为一个server开启ssl支持
8. ssl                  on;
9. #为虚拟主机指定pem格式的证书文件
10. ssl_certificate      /home/wangzhengyi/ssl/wangzhengyi.crt;
11. #为虚拟主机指定私钥文件
12. ssl_certificate_key  /home/wangzhengyi/ssl/wangzhengyi_nopass.key;
13. #client可以反复使用存储在缓存中的会话參数时间
14. ssl_session_timeout  5m;
15. #指定使用的ssl协议
16. ssl_protocols  SSLv3 TLSv1;
17. #指定许可的password描写叙述
18. ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
19. #SSLv3和TLSv1协议的服务器password需求优先级高于clientpassword
20. ssl_prefer_server_ciphers   on;
21. location / {
22. root   /home/wangzhengyi/ssl/;
23. autoindex on;
24. autoindex_exact_size    off;
25. autoindex_localtime on;
26. }
27. # redirect server error pages to the static page /50x.html
28. #
29. error_page   500 502 503 504  /50x.html;
30. error_page   404 /404.html;
31. location = /50x.html {
32. root   /usr/share/nginx/www;
33. }
34. location = /404.html {
35. root   /usr/share/nginx/www;
36. }
37. # proxy the PHP scripts to fpm
38. location ~ \.php$ {
39. access_log  /var/log/nginx/ssl/ssl.access.log  main;
40. error_log /var/log/nginx/ssl/ssl.error.log;
41. root /home/wangzhengyi/ssl/;
42. fastcgi_param   HTTPS   on;
43. include /etc/nginx/fastcgi_params;
44. fastcgi_pass    sslfpm;
45. }
46. }

HTTPSserver优化

方法

SSL操作须要消耗CPU资源。所以在多处理器的系统，须要启动多个工作进程，并且数量须要不少于可用CPU的个数。最消耗CPU资源的SSL操作是SSL握手。有两种方法能够将每一个client的握手操作数量降到最低：

1. 保持client长连接。在一个SSL连接发送多个请求
2. 在并发的连接或者兴许的连接中重用SSL会话參数，这样能够避免SSL握手操作。

会话缓存用于保存SSL会话，这些缓存在工作进程间共享，能够使用ssl_session_cache指令进行配置。

1M缓存能够存放约4000个会话。默认的缓存超时时间是5m。能够使用ssl_session_timeout加大它。

ssl_session_cache指令

1. 语法：ssl_session_cache off|none|builtin:size|shared:name:size
2. 使用环境：main,server
3. 缓存类型:
4. off -- 硬关闭，nginx明白告诉client这个会话不可重用
5. none -- 软关闭，nginx告诉client会话可以被重用，可是nginx实际上不会重用它们
6. bultin -- openssl内置缓存，仅可用于一个工作进程.可能导致内存碎片
7. shared -- 全部工作进程的共享缓存。（1）缓存大小用字节数指定（2）每一个缓存必须拥有自己的名称（3）同名的缓存可用于多个虚拟主机

优化演示样例

1. #优化ssl服务
2. ssl_session_cache   shared:wzy:10m;
3. #client可以反复使用存储在缓存中的会话參数时间
4. ssl_session_timeout  10m;

參考链接

http://nginx.org/cn/docs/http/configuring_https_servers.html