nginx + SSL优化配置: #http段添加如下配置项: http { ssl_prefer_server_ciphers on; #设置协商加密算法时,优先使用我们服务端的加密套件,而不是客户端浏览器的加密套件. ssl_protocols TLSv1 TLSv1. TLSv1.; #协议安全设置 ssl_ciphers ALL:!kEDH!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; #加密套件 ssl_ciphers选择加密套件,不同的浏览器…

前提: 3个文件 - domain.csr.domain.key.xxx.cer 简述: 1. 本地生成 .key文件  [附件] 2. 再利用key文件,生成csr(certificate Secure Request)文件,证书请求文件.[附件]     同时,csr是公钥.     同时,csr提供给 CA. 3. CA会返回证书(邮件形式).[附件] [最下面的证书] 安装: 1. 配置 nginx 1 upstream openapi_test_https { # 负载均衡   2  …

1. sudo apt-get install openssl libssl-dev # ./configure --with-http_stub_status_module --with-http_ssl_module # make && make install nginx快速退出../sbin/nginx -s quit 2. 生成证书 # 1.首先,进入你想创建证书和私钥的目录,例如: cd /etc/nginx/ # 2.创建服务器私钥,命令会让你输入一个口令: openssl…

项目后台服务器采用nginx+tomcat 负载均衡架构  不久 访问协议有http升级为https 对服务器认证采用沃通的ssl证书 nginx ssl证书安装 参照沃通官方文档 他们有技术支持沟通起来也很方便,但是他们只提供单项认证,没有服务器对客户端的认证 服务器对客户端的认证(如果项目网站需要)是需要我们自己来处理 记录如下: 第一步: cd  ~/ mkdir ssl cd ssl mkdir demoCA cd demoCA mkdir newcerts mkdir private…

两台服务器 11.11.11.3     (生成证书然后到CA服务上注册) 11.11.11.4    (nginx服务.CA证书签发) 1.建立CA服务器(11.3) .在CA上生成私钥文件 在/etc/pki/CA/private [root@ca]# cd /etc/pki/CA/ [root@ca CA]# (umask ;openssl genrsa -) .在CA上生成自签署证书 必须在/etc/pki/CA目录下 [root@ca CA]# openssl req - -new 为…

本文介绍nginx在提供HTTPS时使用的一些其他配置选项. 虽然这些功能有助于优化nginx的SSL和TLS,但这不是一个完整对加固nginx的介绍. 确保您的服务器安全的最佳方法是不仅需要正确的配置,而且需要始终遵循最佳安全的设置实践. 关闭nginx版本显示 <br\>默认情况下,nginx与任何连接到服务器的客户端共享其版本号. 例如,如果没有找到目录,nginx将返回包含其版本号的404错误. 关闭nginx版本显示使得攻击者无法清楚的得到具体版本,因此可以阻止他进行特定于版本的漏洞…

1.nginx负载均衡 新建一个文件:vim /usr/local/nginx/conf/vhost/load.conf写入: upstream abc_com{ip_hash;server 61.135.157.156:80;server 125.39.240.113:80;}server{listen 80;server_name www.abc.com;location /{proxy_pass http://abc_com;proxy_set_header Host $host;prox…

一.SSL 原理 ① 客户端( 浏览器 )发送一个 https 请求给服务器② 服务器要有一套证书,其实就是公钥和私钥,这套证书可以自己生成,也可以向组织申请,服务器会把公钥传输给客户端③ 客户端收到公钥后,会验证其是否合法有效,无效会有警告提醒,有效则会生成一串随机数,并用收到的公钥加密,然后把加密后的随机字符串传输给服务器④ 服务器收到加密随机字符串后,先用私钥解密来获取到这一串随机字符串,再用这串随机字符串加密要传输的数据,然后把加密后的数据传给客户端⑤ 客户端收到数据后, 再用自己的私钥…

还存在的问题,如果通过nginx 转发推过去的镜像,在web页面显示比较慢,需要等定时任务发现了才能及时显示出来,如果通过b.p.xxx.cn:5000加端口push 的镜像就比较快显示出来.只影响到显示,不影响正常使用. 获取代码:git clone https://github.com/SUSE/Portus.git cd Portus vim docker-compose.yml PS:   portus 这个项目更换镜像的话,就需要重新创建管理员账号,既然不是保存在MYSQL里面的,奇葩…

SSL 私钥/etc/pki/CA/ (umask 077;openssl genrsa -out private/cakey.pem 2048) 自签证书 openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365 touch index.txt echo 01 > serial 创建nginx私钥 /etc/nginx/ssl (umask 077;openssl genrsa -out nginx.key…

转自http://www.cnblogs.com/interdrp/p/4881785.html 最近在做一个项目, 架构上使用了 Nginx +tomcat 集群, 且nginx下配置了SSL,tomcat no SSL,项目使用https协议 但是,明明是https url请求,发现 log里面, 0428 15:55:55 INFO  (PaymentInterceptor.java:44) preHandle() - requestStringForLog:    { "request.…

公司之前使用的是免费startssl证书,听说IOS 以后不信任这些免费的验证不严格的证书,公司果断购买了一个统配域名证书,其实不用貌似也没什么事,主要是提交app的时候得说明理由,被拒的可能性比较大. 在更换证书前想着保留原来免费的证书,然后使用新域名做测试.结果新域名使用了新证书,测试包老是不通过 我就纳闷了~怎么就不成了,到网上搜索到的问题都是说使用的是TLS1 ,而IOS要求是TLS1.2 .但是修改nginx配置,又重新编译nginx升级openssl版本 server { liste…

查看当前安装的OpenSSL版本所支持的密码列表,可以使用下列命令:openssl ciphers 苹果ATS检测:https://www.qcloud.com/product/ssl 刚开始"PFS(完全正向保密)"这一项未成功通过,升级Nginx版本后才通过了 具体配置方法:https://www.qcloud.com/document/product/400/6973 Nginx 证书加密套件配置: 更新Nginx根目录下 conf/nginx.conf 文件如下: server…

原理图: - 客户端生成一个随机数 random-client,传到服务器端(Say Hello) - 服务器端生成一个随机数 random-server,和着公钥,一起回馈给客户端(I got it) - 客户端收到的东西原封不动,加上 premaster secret(通过 random-client.random-server 经过一定算法生成的东西),再一次送给服务器端,这次传过去的东西会使用公钥加密 - 服务器端先使用私钥解密,拿到 premaster secret,此时客户端和服务器…

1. 在godaddy购买了UCC SSL(最多5个域名)的SSL证书 2. 设置证书 -- 管理 -- 3. 需要制作证书申请CSR文件(在线工具制作或者openssl命令制作),保存CSR和key文件. 4. 制作的时候,我这里虽然是多域名证书(一个证书绑定多个域名),但是制作CSR只制作主域名的CSR,其它域名通过SAN添加即可,复制CSR的内容到下面图片框:…

五.以Production环境部署Rails项目 这里插一个题外话,我们之前是以development环境运行的rails项目,现在我们希望在实际的生产系统中跑一下看看.这是十分有必要的,应该在rails项目的早期进行生产系统的测试,否则到后面会遇到很多奇怪的问题. 正常情况下在rails项目的config/environments目录中按照对于环境包含了各自对应的配置文件,我们不需要做任何修改.不过鉴于每个人的运行环境千差万别,在production.rb配置文件中有3个地方要简单提及一下:…

三.配置Nginx 先是修改 hosts 文件,意思是创建一个本地域名以便我们访问,比如: $ sudo subl /etc/hosts 127.0.0.1 rails_project.local 但是这里可以跳过,因为hosts文件中本身默认包含一个localhost本地域,所以我们如果只通过localhost访问页面,这里不需要做修改. 这里我们测试一下hosts设置的是否正确,简单的ping一下就可以了: ping localhost PING localhost (127.0.0.1):…

  前几天自己用 egg.js 写了个 api 接口,然后把它部署到服务器上.服务器是ubuntu 16.04 + nginx:因为要用到https,然后今天实践了一下如何配置https. 关于https 就不做过多的陈述了,可以直接百科看看详细资料. 1.在阿里云购买SSL证书 (阿里云有免费的ssl证书) 点这里  免费型DV SSL  只能绑定一个域名 比如xxx.xxx.com 2.去申请签发一下SSL 证书,应该要几个小时 3.申请通过后,点击下载,在右侧菜单,现在对应服务器的文件,我…

user www www; worker_processes auto; error_log /home/wwwlogs/nginx_error.log crit; pid /usr/local/nginx/logs/nginx.pid; #Specifies the value for maximum file descriptors that can be opened by this process. worker_rlimit_nofile 51200; events { use epo…

server { listen ; server_name xxx.com; root "/home/www/website"; ssl on; ssl_certificate /usr/local/nginx/conf/xxx.crt; #ssl crt证书存放路径 ssl_certificate_key /usr/local/nginx/conf/xxx.key; #ssl key证书存放路径 ssl_session_timeout 5m; ssl_protocols TLSv1…

http://www.siven.net/posts/d925bb5d.html *********************************************** 问题描述 由于要配置服务器(Nginx + Tomcat)的SSL的问题(Nginx同时监听HTTP和HTTPS),但是,如果用户访问的是HTTPS协议,然后Tomcat进行重定向的时候,却变成了HTTP. 逐步实践过程 在网上找了一些资料,有些是通过修改Nginx配置即可解决,也有只对Tomcat配置进行调整解决的……

一 .证书自签发和给web 服务签发证书 .ssl 证书加密文件 ****************************** 建立私有CA openCA openssl 证书申请及签署步骤 .生成证书申请请求 .RA 效验 .CA 签署 . 获取证书 openssl 默认配置文件:/etc/pki/tls/openssl.cnf .创建所需要的文件 文件serial和index.txt分别用于存放下一个证书的序列号和证书信息数据库. 文件serial填写第一个证书序列号(如10000001),…

转自:https://www.jb51.net/article/107350.htm 环境 系统环境:CentOS6.7 nginx version: nginx/1.8.1 证书 ? 1 2 3 # ls /opt/nginx/conf/ssl qingkang.me.crt # 公钥 qingkang.me.key # 私钥 配置 ? 1 vim nginx.conf 找到以下内容 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 # HTTPS server…

最近在做一个项目, 架构上使用了 Nginx +tomcat 集群, 且nginx下配置了SSL,tomcat no SSL,项目使用https协议 但是,明明是https url请求,发现 log里面, 0428 15:55:55 INFO  (PaymentInterceptor.java:44) preHandle() - requestStringForLog:    { "request.getRequestURL():": "http://trade.feilon…

查看当前安装的OpenSSL版本所支持的密码列表,可以使用下列命令:openssl ciphers 苹果ATS检测:https://www.qcloud.com/product/ssl 刚开始"PFS(完全正向保密)"这一项未成功通过,升级Nginx版本后才通过了 具体配置方法:https://www.qcloud.com/document/product/400/6973 Nginx 证书加密套件配置: 更新Nginx根目录下 conf/nginx.conf 文件如下: server…

nginx+pm2 部署 nodejs 服务 最近在 centos 上部署 nodejs 服务,记下来步骤: 注意都是使用 root 用户. 下载 nvm: curl -o- https://raw.githubusercontent.com/creationix/nvm/v0.33.8/install.sh | bash 使用 nvm 安装 nodejs: nvm install node,安装完成后,node -v 测试下是否安装成功 使用 npm 安装 pm2: npm i pm2 -g…

开发中遇到react-native生成的android访问UAT和开发环境的http api都可以,但是访问生产环境的https就报错,还有就是第三方webhook调用你https网站的api也可能会出现ssl握手失败的错误 这种问题可能是由于你的证书里只有一个证书,没有证书链,可以通过这个网址检查你的域名ssl证书配置是否正确:https://www.sslshopper.com/ssl-checker.html 一般证书里只包含一个certificate如下: 而证书链里包含多个: 在ngi…

使用OpenSSL生成证书 1.生成RSA密钥的方法 openssl genrsa -des3 -out privkey.pem 2048 这个命令会生成一个2048位的密钥,同时有一个des3方法加密的密码,如果你不想要每次都输入密码,可以改成: openssl genrsa -out privkey.pem 2048 建议用2048位密钥,少于此可能会不安全或很快将不安全. 2.生成一个证书请求 openssl req -new -key privkey.pem -out cert.csr…

这里把主要的步骤写下来,反正我是走了不少弯路,希望由此需求的朋友们别再走类似的弯路.虽说环境是在MacOS下搭建,但是基本上和linux下的很相像,大家可以举一反三. 一.安装Rails 这个是最简单的,大家可以到我blog看相关文章,安装完毕后创建一个rails项目,比如名字为rails_project,这时你启动rails服务器之后rails s,应该可以在浏览器中访问如下地址的页面: http://localhost:3000 至此,Rails安装和后台服务都运行正常! 二.安装Passe…

http://wiki.nginx.org/HttpSslModulehttp://zou.lu/nginx-https-ssl-module/http://www.21andy.com/blog/20100224/1714.htmlhttp://blog.51yip.com/apachenginx/974.htmlhttp://www.sudone.com/nginx/nginx_ssl.html双向认证的文章http://hi.baidu.com/ffkbxyimkhbmwzq/item/7…