Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

HTTPS简介
HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议。Https使用的默认端口是443。更多HTTPS原理可以参考阮一峰老师的文章:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html

SSL证书
证书类型简介
要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA)。CA验证证书请求及您的身份,然后将证书返回给您的安全服务器。
但是内网实现一个服务器端和客户端传输内容的加密,可以自己给自己颁发证书,只需要忽略掉浏览器不信任的警报即可!
由CA签署的证书为您的服务器提供两个重要的功能:

  1. 浏览器会自动识别证书并且在不提示用户的情况下允许创建一个安全连接。
  2. 当一个CA生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。

多数支持ssl的web服务器都有一个CA列表,它们的证书会被自动接受。当一个浏览器遇到一个其授权CA并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接。

制作CA证书
ca.key CA私钥:

openssl genrsa -des3 -out ca.key 2048

ca.crt CA根证书(公钥):

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

制作网站的证书并用CA签名认证
这里,假设网站域名为www.example.com,生成com.example.com证书私钥:

  openssl genrsa -des3 -out www.example.com.pem 1024

制作解密后的www.example.com证书私钥:

  openssl rsa -in www.example.com.pem -out www.example.com.key

生成签名请求:

  openssl req -new -key www.example.com.pem -out www.example.com.csr

可以在Common Name中填入网站域名,即可生产该网站的证书。
用CA进行签名:

代码如下:

openssl ca -policy policy_anything -days 365 -cert ca.crt -keyfile ca.key -in www.example.com.csr -out www.example.com.crt

可能执行签名时,会出现“I am unable to access the ./demoCA/newcerts directory”问题:

解决方法:

  mkdir -p demoCA/newcerts
  touch demoCA/index.txt
  touch demoCA/serial
  echo "01" > demoCA/serial

然后,再执行签名命令即可。

基于Nginx搭建HTTPS虚拟主机
虚拟主机配置文件

  upstream sslfpm {
    server 127.0.0.1:9000  weight=10  max_fails=3 fail_timeout=20s;
  } 

  server {
    listen    192.168.1.*:443;
    server_name 192.168.1.*;  

    #为一个server开启ssl支持
    ssl         on;
    #为虚拟主机指定pem格式的证书文件
    ssl_certificate   /home/wangzhengyi/ssl/wangzhengyi.crt;
    #为虚拟主机指定私钥文件
    ssl_certificate_key /home/wangzhengyi/ssl/wangzhengyi_nopass.key;
    #客户端能够重复使用存储在缓存中的会话参数时间
    ssl_session_timeout 5m;
    #指定使用的ssl协议
    ssl_protocols SSLv3 TLSv1;
    #指定许可的密码描述
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    #SSLv3和TLSv1协议的服务器密码需求优先级高于客户端密码
    ssl_prefer_server_ciphers  on;  

    location / {
      root  /home/wangzhengyi/ssl/;
      autoindex on;
        autoindex_exact_size  off;
        autoindex_localtime on;
    }
      # redirect server error pages to the static page /50x.html
      #
      error_page  500 502 503 504 /50x.html;
      error_page  404 /404.html; 

    location = /50x.html {
        root  /usr/share/nginx/www;
      }
    location = /404.html {
        root  /usr/share/nginx/www;
      } 

      # proxy the PHP scripts to fpm
      location ~ \.php$ {
      access_log /var/log/nginx/ssl/ssl.access.log main;
      error_log /var/log/nginx/ssl/ssl.error.log;
      root /home/wangzhengyi/ssl/;
      fastcgi_param  HTTPS  on;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass  sslfpm;
      }
  }

HTTPS服务器优化
方法
SSL操作需要消耗CPU资源,所以在多处理器的系统,需要启动多个工作进程,而且数量需要不少于可用CPU的个数。最消耗CPU资源的SSL操作是SSL握手,有两种方法可以将每个客户端的握手操作数量降到最低:

保持客户端长连接,在一个SSL连接发送多个请求
    在并发的连接或者后续的连接中重用SSL会话参数,这样可以避免SSL握手操作。

会话缓存用于保存SSL会话,这些缓存在工作进程间共享,可以使用ssl_session_cache指令进行配置。1M缓存可以存放约4000个会话。默认的缓存超时时间是5m,可以使用ssl_session_timeout加大它。
ssl_session_cache指令

语法:ssl_session_cache off|none|builtin:size|shared:name:size 
    使用环境:main,server 
    缓存类型: 
    off -- 硬关闭,nginx明确告诉客户端这个会话不可重用 
    none -- 软关闭,nginx告诉客户端会话能够被重用,但是nginx实际上不会重用它们 
    bultin -- openssl内置缓存,仅可用于一个工作进程.可能导致内存碎片 
    shared -- 所有工作进程的共享缓存。(1)缓存大小用字节数指定(2)每个缓存必须拥有自己的名称(3)同名的缓存可用于多个虚拟主机

优化示例

  #优化ssl服务
  ssl_session_cache  shared:wzy:10m;
  #客户端能够重复使用存储在缓存中的会话参数时间
  ssl_session_timeout 10m;

nginx强制使用https访问(http跳转到https)

基于nginx搭建了一个https访问的虚拟主机,监听的域名是test.com,但是很多用户不清楚https和http的区别,会很容易敲成http://test.com,这时会报出404错误,所以我需要做基于test.com域名的http向https的强制跳转

nginx的rewrite方法

思路
这应该是大家最容易想到的方法,将所有的http请求通过rewrite重写到https上即可

配置

  server {
    listen 192.168.1.111:80;
    server_name test.com; 

    rewrite ^(.*)$ https://$host$1 permanent;
  }

搭建此虚拟主机完成后,就可以将http://test.com的请求全部重写到https://test.com上了

nginx的497状态码

error code 497

  497 - normal request was sent to HTTPS

解释:当此虚拟站点只允许https访问时,当用http访问时nginx会报出497错误码

思路
利用error_page命令将497状态码的链接重定向到https://test.com这个域名上

配置

  server {
    listen    192.168.1.11:443; #ssl端口
    listen    192.168.1.11:80;  #用户习惯用http访问,加上80,后面通过497状态码让它自动跳到443端口
    server_name test.com;
    #为一个server{......}开启ssl支持
    ssl         on;
    #指定PEM格式的证书文件
    ssl_certificate   /etc/nginx/test.pem;
    #指定PEM格式的私钥文件
    ssl_certificate_key /etc/nginx/test.key; 

    #让http请求重定向到https请求
    error_page 497 https://$host$uri?$args;
  }

index.html刷新网页

思路
上述两种方法均会耗费服务器的资源,我们用curl访问baidu.com试一下,看百度的公司是如何实现baidu.com向www.baidu.com的跳转

可以看到百度很巧妙的利用meta的刷新作用,将baidu.com跳转到www.baidu.com.因此我们可以基于http://test.com的虚拟主机路径下也写一个index.html,内容就是http向https的跳转

index.html

  <html>
  <meta http-equiv="refresh" content="0;url=https://test.com/">
  </html>
(0)

相关推荐

  • Nginx实现根据域名http、https分发配置示例

    tomcat端口:8080 做好虚拟主机 nginx端口:80 根据域名分派 在conf/nginx.conf中的http中增加 复制代码 代码如下: include www.jb51.net.conf 新建conf/www.jb51.net.conf,内容如下: 复制代码 代码如下: server { listen 80; server_name www.jb51.net; location / {     proxy_pass http://127.0.0.1:8080;     proxy

  • 微信小程序Server端环境配置详解(SSL, Nginx HTTPS,TLS 1.2 升级)

    微信小程序Server环境配置详解 主要内容: 1. SSL免费证书申请步骤 2. Nginx HTTPS 配置 3. TLS 1.2 升级过程 微信小程序要求使用 https 发送请求,那么Web服务器就要配置成支持 https,需要先申请SSL证书 小程序也要求 TLS(传输层安全协议)的版本至少为 1.2,在配置好 https之后,如果 TLS 的版本较低,就涉及到升级问题 所以 Server端环境配置的主要步骤: 申请 SSL 证书 配置web服务器支持https(我使用的是nginx)

  • Nginx搭建https服务器教程

    HTTPS简介 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单来讲就是HTTP的安全版.即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL. 它是一个URI scheme(抽象标识符体系),句法类同http:体系,用于安全的http数据传输.https使用的默认端口是443. SSL证书 证书类型简介 要设置安全服务器,使用公共钥创建一对公私钥对.大多数

  • Linux下nginx配置https协议访问的方法

    一.配置nginx支持https协议访问,需要在编译安装nginx的时候添加相应的模块--with-http_ssl_module 查看nginx编译参数:/usr/local/nginx/sbin/nginx -V 如下所示: configure arguments: --prefix=/usr/local/nginx --with-google_perftools_module --without-http_memcached_module --user=www --group=www --

  • 详解nginx同一端口监听多个域名和同时监听http与https

    详解nginx同一端口监听多个域名和同时监听http与https 1.同一端口监听多个域名 如今公网ip资源越来越珍贵,多域名监听应用非常广泛,就是用一个端口,比如80或者443,监听多个入口域名.如下: server { listen 443 ssl; server_name xxx.xxx.cn; ssl_certificate ssl/server.pem; ssl_certificate_key ssl/server.key; ...... } 在启用新的域名的时候,只需要另启一个ser

  • 详解阿里云LINUX服务器配置HTTPS(NGINX)

    背景说明 服务器为阿里云 ECS,操作系统为 CentOS 6.5. 部署配置说明 第一步,安装nginx 之所以要先安装 nginx,是因为下面配置域名解析的时候可以直接在浏览器看到效果,当然了,先配置域名,然后 ping 一下也是可以的 下载Nginx源码包,解压源码包,进入解压后的目录,编译配置,命令如下: ./configure --prefix=/usr/local/nginx --with-http_ssl_module 以上命令将nginx安装到usr/local/nginx目录下

  • nginx http重定向https配置说明

    nginx http重定向https配置说明 现在什么苹果,谷歌浏览器请求地扯基本都要求使用https了,如何把原来的http协议重定向到https中呢,这里我们可以使用http反向代理软件nginx. 使用 安装 yum install nginx -y 配置 cat /etc/nginx server { listen 80; server_name dounine.com www.dounine.com; return 301 https://www.dounine.com$request

  • Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    HTTPS简介 HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的.HTTPS协议是在HTTP协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议.Https使用的默认端口是443.更多HTTPS原理可以参考阮一峰老师的文章:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html SSL证书 证书类

  • 使用Nginx搭建流媒体服务器实现直播功能

    写在前面 最近几年,直播行业比较火,无论是传统行业的直播,还是购物.游戏.教育,都在涉及直播.作为在互联网行业奋斗了多年的小伙伴,你有没有想过如果使用Nginx搭建一套直播环境,那我们该如何搭建呢?别急,接下来,我们就一起使用Nginx来搭建一套直播环境. 安装Nginx 注意:这里以CentOS 6.8服务器为例,以root用户身份来安装Nginx. 1.安装依赖环境 yum -y install wget gcc-c++ ncurses ncurses-devel cmake make pe

  • 详解用Nginx搭建CDN服务器方法(图文)

    利用Nginx的proxy_cache搭建缓存服务器一:编译ngx_cache_purge 1.Nginx的Proxy_cache是根据Key值md5哈希存储缓存,支持任意的Key,例如你可以根据"域名.URI.参数"组合成key,也支持非200状态码,如404/302等. 2.要利用Nginx的Proxy_cache,你需要在Nginx编译进ngx_cache_purge 模块,执行:nginx -V,查看有没有ngx_cache_purge 字样,没有的话需要自己手动编译. Ngi

  • nginx搭建图片服务器的过程详解(root和alias的区别)

    安装过程略(我是直接用 yum -y install nginx; 安装的). 启动 启动(重启)nginx,以下2个命令都可以: systemctl restart nginx; # 注:这里的nginx不是目录,是cd不进去的 /usr/sbin/nginx -s reload; 一般不报错就是启动成功. 页面验证nginx是否启动 浏览器输入ip,返回centos页面,这不对吧? 看下配置文件: root /usr/share/nginx/html; 该目录下的index.html 内容就

  • nginx搭建NFS服务器的方法步骤

    目录 简介 什么是nfs服务器? 为什么需要nfs服务器 nfs服务器是否是最佳的解决方法 nfs的优点和缺点 RPC 搭建NFS服务器 安装nfs 挂载 简介 什么是nfs服务器? NFS(Network File System)即网络文件系统,它最大的功能就是可以通过网络,让不同的机器.不同的操作系统可以共享彼此的文件,使用者访问网络上别处的文件就像在使用自己的计算机一样. 为什么需要nfs服务器 到同一个地方拿数据,保障网站数据的一致性,不管负载均衡器将请求分配到哪台后端的服务器,客户机看

  • 详解Nginx搭建图片服务器过程

    在此之前如果你是一个Nginx新手可以先参阅: Windows nginx安装教程及简单实践 linux下安装nginx(图文教程) 本章知识点 效果图: 需求:实现图片的上传和批量上传 技术:Nginx,Vsftpd,Spring,SpringMVC,KindEditor,CentOS 说明:本章节内容主要是实现图片的上传功能.使用 KindEditer 是为了更好的演示图片的上传,回显,批量效果.后台代码与KindEditer没有直接关系,放心阅读.另外源码中有Mybatis的jar,不用理

  • Java实现文件上传到服务器本地并通过url访问的方法步骤

    目录 一.场景 二.SpringBoot默认静态资源访问方式 三.上传的文件应该存储在哪?怎么访问? 1.文件存储在哪? 2.怎么访问? 四.测试 五.总结 一.场景 Java实现文件上传到服务器本地,并通过url访问 有个需求,前端上传文件,需要用开关的方式同时支持上传七牛和服务器本地,方便不同的用户需求合理分配资源.本篇主要介绍文件上传到本地,然后通过url访问. 二.SpringBoot默认静态资源访问方式 首先想到的就是可以通过SpringBoot通常访问静态资源的方式,当访问:项目根路

  • 使用Nginx搭建图片服务器(windows环境下)

    知识点:在windows系统中,搭建图片上传服务器 1.进入官网下载nginx压缩包,解压后目录如下 2.在解压后的conf/nginx.conf配置文件中,添加添加或者修改带有颜色地方的代码 #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; event

  • 配置nginx保证frps服务器与web共用80端口的方法

    首先你会有个疑惑,frp是什么呢?简单的说frp就是内网穿透工具,配置好客户端以后,可以通过服务器来访问内网. 现在我的服务器,已经用nginx 做站了,80端口只有一个,那如果frp的服务端也想使用80端口,那应该怎么办呢? 经过查询,这个是可以实现的,就是利用nginx的反向代理来实现. 补充一下:frps就是服务器端(server),frpc就是客户端(client). 第一步:修改服务器中nginx.conf配置文件 在nginx.conf中http{ }里添加以下参数, server

  • Node启动https服务器的教程

    首先你需要生成https证书,可以去付费的网站购买或者找一些免费的网站,可能会是key或者crt或者pem结尾的.不同格式之间可以通过OpenSSL转换,如: openssl x509 -in mycert.crt -out mycert.pem -outform PEM Node原生版本: const https = require('https') const path = require('path') const fs = require('fs') // 根据项目的路径导入生成的证书文

随机推荐