共计 7010 个字符,预计需要花费 18 分钟才能阅读完成。
(一)简介
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer), 是以安全为目标的 HTTP 通道,简单来讲就是 HTTP 的安全版。即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。
它是一个 URI scheme(抽象标识符体系),句法类同 http: 体系,用于安全的 http 数据传输。https 使用的默认端口是 443.
HTTPS 协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
SSL 证书类型简介:
要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构 (CA).CA 验证证书请求及您的身份,然后将证书返回给您的安全服务器。
但是内网实现一个服务器端和客户端传输内容的加密,可以自己给自己颁发证书,只需要忽略掉浏览器不信任的警报即可!
由 CA 签署的证书为您的服务器提供两个重要的功能:
浏览器会自动识别证书并且在不提示用户的情况下允许创建一个安全连接
当一个 CA 生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。
多数支持 ssl 的 web 服务器都有一个 CA 列表,它们的证书会被自动接受。当一个浏览器遇到一个其授权 CA 并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接
(二)工作原理
HTTPS 能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用 HTTPS 协议。
客户端在使用 HTTPS 方式与 Web 服务器通信时有以下几个步骤,如图所示。
(1)客户使用 https 的 URL 访问 Web 服务器,要求与 Web 服务器建立 SSL 连接。
(2)Web 服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与 Web 服务器开始协商 SSL 连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)Web 服务器利用自己的私钥解密出会话密钥。
(6)Web 服务器利用会话密钥加密与客户端之间的通信。
(三)https 的优缺点:
1,优点:
(1)使用 HTTPS 协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要比 http 协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
(3)HTTPS 是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
(4)搜索排名更靠前。比起同等 HTTP 网站,采用 HTTPS 加密的网站在搜索结果中的排名将会更高。
2,缺点:
1)HTTPS 协议握手阶段比较费时,会使页面的加载时间延长近 50%,增加 10% 到 20% 的耗电;
(2)HTTPS 连接缓存不如 HTTP 高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL 证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个消耗。
(5)HTTPS 协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL 证书的信用链体系并不安全,特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。
(四)nginx 搭建 https 服务器
1,创建 SSL 证书
1.1 生产私钥,openssl genrsa -des3 -out xn2.lqb.com.key 2048。此命令将生成 2048 位的 RSA 私钥,使用 DES3 算法,私钥文件名可任意命名,在 Nginx 配置中指定文件路径即可,会提示设定私钥密码,请设置密码,并牢记。
[root@Monitor ssl]# openssl genrsa -des3 -out xn2.lqb.com 2048
Generating RSA private key, 2048 bit long modulus
…………………………….+++
……………………………………………….+++
e is 65537 (0x010001)
Enter pass phrase for xn2.lqb.com:
Verifying – Enter pass phrase for xn2.lqb.com:
1.2 以上生产的 key 是有密码的,如果把密码去除,执行如下命令 openssl rsa -in xn2.lqb.com -out xn2.lqb.com_nopwd.key
[root@Monitor ssl]# ls
xn2.lqb.com
[root@Monitor ssl]# openssl rsa -in xn2.lqb.com -out xn2.lqb.com_nopwd.key
Enter pass phrase for xn2.lqb.com:
writing RSA key
1.3 由已生产的私钥生成证书请求文件 CSR。openssl rsa -in xn2.lqb.com -out xn2.lqb.com_nopwd.key
[root@Monitor ssl]# openssl rsa -in xn2.lqb.com -out xn2.lqb.com_nopwd.key
Enter pass phrase for xn2.lqb.com:
writing RSA key
[root@Monitor ssl]# openssl req -new -key xn2.lqb.com -out xn2.lqb.com.csr
Enter pass phrase for xn2.lqb.com:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:shanghai
Locality Name (eg, city) []:shanghai
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xn2.lqb.com
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:xn2.lqb.com
Email Address []:2223344@qq.com
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@Monitor ssl]# ls
xn2.lqb.com xn2.lqb.com.csr xn2.lqb.com_nopwd.key
1.4. 证书请求文件 CSR 文件必须有 CA 的签名才能形成证书,可以将此 CSR 发给 StartSSL(可免费)、verisign(一大笔钱)等地方由他来验证。也可以自己做 CA,自己给自己颁发证书。创建一个自己签署的 CA 证书。openssl req -new -x509 -days 3650 -key xn2.lqb.com -out xn2.lqb.com.crt
[root@Monitor ssl]# openssl req -new -x509 -days 3650 -key xn2.lqb.com -out xn2.lqb.com.crt
xn2.lqb.com xn2.lqb.com.csr xn2.lqb.com_nopwd.key
[root@Monitor ssl]# openssl req -new -x509 -days 3650 -key xn2.lqb.com_nopwd.key -out xn2.lqb.com.crt
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Shanghai
Locality Name (eg, city) []:shanghai
Organization Name (eg, company) [Internet Widgits Pty Ltd]:lqb.com
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:xn2.lqb.com
Email Address []:
[root@Monitor ssl]# ls
xn2.lqb.com xn2.lqb.com.crt xn2.lqb.com.csr xn2.lqb.com_nopwd.key
2. 查看 nginx 是否安装 SSL 模块
[root@Monitor ~]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.10.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC)
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
configure arguments: –prefix=/usr/local/nginx –with-http_ssl_module –with-http_stub_status_module –with-pcre –with-http_realip_module –with-http_image_filter_module –with-debug
3. 配置 nginx 虚拟主机文件
[root@Monitor ssl]#vim ../server.conf
server {
listen 80;
server_name xn2.lqb.com;
root /html/xn2;
# rewrite ^/(.*)$ https:xn3.lqb.com/$1 permanent;
location / {
index index.html;
# proxy_cache mycache;
# proxy_cache_valid 200 3h;
# proxy_cache_valid 301 302 10m;
# proxy_cache_valid all 1m;
# proxy_cache_use_stale error timeout http_500 http_502 http_503;
#
# proxy_pass http://192.168.180.9;
# proxy_set_header Host $host;
# proxy_set_header X-Real-IP $remote_addr;
}
location /images/
{
index index.html;
}
}
server {
listen *:443;
server_name xn2.lqb.com;
ssl on; ### 位虚拟主机开启 ssl 支持
ssl_certificate /usr/local/nginx/conf/server/ssl/xn2.lqb.com.crt; ### 为虚拟主机指定签名证书文件
ssl_certificate_key /usr/local/nginx/conf/server/ssl/xn2.lqb.com_nopwd.key; ### 为虚拟主机指定私钥文件
# #ssl_session_timeout 5m; #### 客户端能够重复使用存储在缓存中的会话参数时间
root /html/xn3;
location /images/ {
index index.html;
}
location / {
proxy_pass http://192.168.180.23;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
4,在浏览器查看访问记录
nginx 服务器访问日志:
192.168.181.231 – – [11/Aug/2017:11:22:35 +0800] “GET / HTTP/1.1” 200 65 “-” “Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36”
192.168.181.231 – – [11/Aug/2017:11:22:37 +0800] “GET /images/ HTTP/1.1” 200 47 “-” “Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36”
Nginx 403 forbidden 的解决办法 http://www.linuxidc.com/Linux/2017-08/146084.htm
CentOS 7 下 Nginx 服务器的安装配置 http://www.linuxidc.com/Linux/2017-04/142986.htm
CentOS 上安装 Nginx 服务器实现虚拟主机和域名重定向 http://www.linuxidc.com/Linux/2017-04/142642.htm
CentOS 6.8 安装 LNMP 环境(Linux+Nginx+MySQL+PHP)http://www.linuxidc.com/Linux/2017-04/142880.htm
Linux 下安装 PHP 环境并配置 Nginx 支持 php-fpm 模块 http://www.linuxidc.com/Linux/2017-05/144333.htm
Nginx 服务的 SSL 认证和 htpasswd 认证 http://www.linuxidc.com/Linux/2017-04/142478.htm
Ubuntu 16.04 上启用加密安全的 Nginx Web 服务器 http://www.linuxidc.com/Linux/2017-07/145522.htm
Linux 中安装配置 Nginx 及参数详解 http://www.linuxidc.com/Linux/2017-05/143853.htm
Nginx 日志过滤 使用 ngx_log_if 不记录特定日志 http://www.linuxidc.com/Linux/2014-07/104686.htm
CentOS 7.2 下 Nginx+PHP+MySQL+Memcache 缓存服务器安装配置 http://www.linuxidc.com/Linux/2017-03/142168.htm
CentOS6.9 编译安装 Nginx1.4.7 http://www.linuxidc.com/Linux/2017-06/144473.htm
Nginx 的详细介绍:请点这里
Nginx 的下载地址:请点这里
本文永久更新链接地址:http://www.linuxidc.com/Linux/2017-08/146268.htm
