落花踏尽游何处,笑入胡姬酒肆中。这篇文章主要讲述Nginx https相关的知识,希望能为你提供帮助。
简介
Https的安全通信机制
非称加密方式的缺点
【Nginx https】1.:公开密钥加密固然比共享密钥加密的方式提升了一个档次,但是它也存在两个问题:
第一个是:如何保证接收端向发送端发出公开秘钥的时候,发送端确保收到的是预先要发送的,而不会被挟持。只要是发送密钥,就有可能有被挟持的风险。
第二个是:非对称加密的方式效率比较低,它处理起来更为复杂,通信过程中使用就有一定的效率问题而影响通信速度
2.:Https采用混合机制的加密方式
https则综合了公开密钥加密和共享密钥加密的两种方式,充分利用两者的优势,在最初的连接的时候使用非对称密钥的加密方式保证连接的安全性,之后稳定的通讯采用对称加密的方式,稳定的通讯是指确保交换的密钥是安全的。
3.:https的证书机制
在1中我们讲了非对称加密的缺点,其中第一个就是公钥很可能存在被挟持的情况,无法保证客户端收到的公开密钥就是服务器发行的公开密钥。此时就引出了公开密钥证书机制。数字证书认证机构是客户端与服务器都可信赖的第三方机构。证书的具体传播过程如下:
1:服务器的开发者携带公开密钥,向数字证书认证机构提出公开密钥的申请,数字证书认证机构在认清申请者的身份,审核通过以后,会对开发者申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将密钥放在证书里面,绑定在一起
2:服务器将这份数字证书发送给客户端,因为客户端也认可证书机构,客户端可以通过数字证书中的数字签名来验证公钥的真伪,来确保服务器传过来的公开密钥是真实的。一般情况下,证书的数字签名是很难被伪造的,这取决于认证机构的公信力。一旦确认信息无误之后,客户端就会通过公钥对报文进行加密发送,服务器接收到以后用自己的私钥进行解密。
http的创建与配置
1 设置nginux.conf 添加include 定义bakend
http {
includemime.types;
include/usr/local/nginx/vhost/*.conf;
default_typeapplication/octet-stream;
..... #gzipon;
upstream bakend {
server 192.168.1.11:8080 weight=1;
}
创建vhost目录配置文件
# mkdir /usr/local/nginx/vhost
# cd /usr/local/nginx/vhost
# vim default.conf
server {
listen 80;
server_name _;
# rewrite,访问80端口强制跳转到https
rewrite ^ https://$host$request_uri? permanent;
}server {
listen443 ssl;
server_namelocalhost;
# 浏览器直接重定向到https,避免中途的302重定向URL被篡改。进一步提高通信的安全性。 HSTSmax-age=31536000是指接下来一年
add_header Strict-Transport-Security "max-age=31536000;
includeSubDomains";
# 证书存放位置
ssl_certificate/usr/local/nginx/certificate/server.crt;
# 免密key存放位置
ssl_certificate_key /usr/local/nginx/certificate/server.key;
# 依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码
ssl_prefer_server_ciphers On;
# 指定密码为openssl支持的格式
ssl_protocolsTLSv1 TLSv1.1 TLSv1.2;
# 密码加密方式
ssl_ciphersHIGH:!aNULL:!MD5;
location / {
#主配置文件中有upstream模块,代理server
proxy_pass http://bakend;
#roothtml;
#index index.html index.htm;
gzip on;
gzip_min_length 40000;
gzip_types application/javascript application/json text/css text/plain;
client_max_body_size 5000M;
proxy_connect_timeout 60;
proxy_send_timeout 1000;
proxy_read_timeout 200;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header SERVER_ADDR $server_addr;
proxy_set_header SERVER_PORT $server_port;
proxy_set_header REMOTE_ADDR $remote_addr;
proxy_set_header REMOTE_PORT $remote_port;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
error_page 500 501 502 503 504 404 400 /error.html;
location = /error.html {
root /usr/local/nginx/html/;
}
}
}
创建私钥存放目录
# mkdir /usr/local/nginx/certificate
# cd /usr/local/nginx/certificate
生成私钥文件
1)生成服务器私钥: openssl genrsa -des3 -out server.key 1024 #des3是算法, -out [filename] 1024是长度,默认会让你输入密码,不小于4个字符 2)创建签名请求的证书(CSR): openssl req -new -key server.key -out server.csr -new 创建一个新的证书请求文件 -key filename 指定私钥的输入文件,创建证书请求时需要 -out filename.csr 输出指定的文件名 3)在加载SSL支持的Nginx并使用上述私钥时除去必须的口令: cp server.key server.key.org openssl rsa -in server.key.org -out server.key 4)最后标记证书使用上述私钥和CSR openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 5)最后会有4个文件,有用的是server.crt和server.key,放到配置文件中指定的位置即可 server.crtserver.csrserver.keyserver.key.org 6)view
文章图片
推荐阅读
- CentOS 初体验四( 阿里云服务器开启8080端口)
- CentOS 初体验六(登录工具PuTTY使用)
- Mysql数据库安装与简介
- CentOS 初体验十(文件权限查看和修改)
- Samba
- oeasy教您玩转vim - 42 - # 剪切进入
- Windows核实激活木马并提出处理办法
- XP插入U盘无盘符显示故障的处理[图]
- 处理WinXP无法访问Win7文件问题