四、SSL虚拟证书

沿用练习三，配置基于加密网站的虚拟主机，实现以下目标：

域名为www.c.com

该站点通过https访问

通过私钥、证书对该站点所有数据加密

4.2 方案

源码安装Nginx时必须使用--with-http_ssl_module参数，启用加密模块，对于需要进行SSL加密处理的站点添加ssl相关指令（设置网站需要的私钥和证书）。

加密算法一般分为对称算法、非对称算法、信息摘要。

对称算法有：AES、DES，主要应用在单机数据加密。

非对称算法有：RSA、DSA，主要应用在网络数据加密。

信息摘要：MD5、sha256，主要应用在数据完整性校验、数据秒传等。

4.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：配置SSL虚拟主机

1）生成私钥与证书

[root@proxy ~]# cd /usr/local/nginx/conf

[root@proxy ~]# openssl genrsa > cert.key                            //生成私钥

[root@proxy ~]# openssl req -new -x509 -key cert.key > cert.pem      //生成证书

2）修改Nginx配置文件，设置加密网站的虚拟主机

[root@proxy ~]# vim  /usr/local/nginx/conf/nginx.conf

… …    

server {

        listen       443 ssl;

        server_name          www.c.com;

        ssl_certificate      cert.pem;         #这里是证书文件

        ssl_certificate_key  cert.key;         #这里是私钥文件

        ssl_session_cache    shared:SSL:1m;

        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;

 ssl_prefer_server_ciphers  on;

        location / {

            root   html;

            index  index.html index.htm;

        }

    }

3）重启nginx服务

[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload

#请先确保nginx是启动状态才可以执行命令成功，否则报错,报错信息如下：

#[error] open() "/usr/local/nginx/logs/nginx.pid" failed (2: No such file or directory)

步骤二：客户端验证

1）修改客户端主机192.168.4.100的/etc/hosts文件，进行域名解析

[root@client ~]# vim /etc/hosts

192.168.4.5    www.c.comwww.a.comwww.b.com

2）登录192.168.4.100客户端主机进行测试

[root@client ~]# firefox https://www.c.com            //信任证书后可以访问