基于Nginx实现HTTPS网站设置的步骤

目录
  • 前言:
  • 加密算法:
  • 一、HTTPS 简介
  • 二、Nginx 实现 HTTPS 网站设置
    • 1.安装 Nginx
    • 2.创建服务器证书密钥文件
    • 3.创建服务器证书的申请文件
    • 4.生成证书文件
    • 5.修改 Nginx 主配置文件

前言:

首先在这里简单说一下为什么现在都在使用 HTTPS 协议:

其实使用 HTTPS 协议最大的原因就是因为 HTTP 协议不安全,因为 HTTP 数据传输时是:明文传输数据 也就是说当客户端在输入用户名和密码时,都会显示出来。而 HTTPS 协议的话则是 密文传输数据 就是在传输数据时会进行加密。

HTTPS 解决数据传输安全问题的方案:就是使用加密算法,具体来说就是混合加密算法,也就是对称加密算法和非对称加密算法的混合使用。

加密算法:

  • 对称加密:加密和解密都是使用同一密钥;常见的对称加密算法有 DES、3DES 和 AES 等。
  • 非对称加密:加密和解密需要使用两个不同的密钥,公钥和私钥。常用的非对称加密算法是 RSA 算法。

一、HTTPS 简介

HTTPS 其实是有两部分组成:HTTP + SSL/TLS,也就是在 HTTP 上又加了一层处理加密信息的模块。服务端和客户端的信息传递都会通过 TLS 进行加密,所以传输的数据都是加密后的数据。

HTTPS 协议原理:

  • 客户端通过 HTTPS 协议访问服务端的 443 端口;
  • 服务端会向客户端进行回应,并且发送证书,也就是公钥;
  • 客户端在收到证书后,会向 CA 请求判断证书是否有效,如果无效,客户端就会提示警告信息,提示此证书不安全;
  • 证书有效的话,客户端就会生成一个随机值;
  • 客户端会用服务端发送来的证书向随机值进行加密然后发送给服务端;
  • 服务端收到后,会使用本地的私钥解开,从而获得客户端的随机值。在服务端发送数据时,会使用随机值对发送的数据进行加密也就是再生成一个相当于是公钥,而随机值就是私钥;
  • 服务端向客户端发送被加密的数据;
  • 客户端收到数据后会使用随机值进行解密,从而成功传输数据。

二、Nginx 实现 HTTPS 网站设置

1.安装 Nginx

[root@Nginx ~]# yum -y install pcre-devel zlib-devel popt-devel openssl-devel openssl
[root@Nginx ~]# wget http://www.nginx.org/download/nginx-1.18.0.tar.gz
[root@Nginx ~]# ls
anaconda-ks.cfg  nginx-1.18.0.tar.gz
[root@Nginx ~]# tar zxf nginx-1.18.0.tar.gz -C /usr/src/
[root@Nginx ~]# cd /usr/src/nginx-1.18.0/
[root@Nginx nginx-1.18.0]# useradd -M -s /sbin/nologin nginx
[root@Nginx nginx-1.18.0]# ./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-file-aio \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--with-http_flv_module \
--with-http_ssl_module \
--with-pcre && make && make install
[root@Nginx nginx-1.18.0]# ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
[root@Nginx nginx-1.18.0]# cd
[root@Nginx ~]# nginx
[root@Nginx ~]# netstat -anpt | grep 80

2.创建服务器证书密钥文件

[root@Nginx ~]# openssl genrsa -des3 -out server.key 1024
...
Enter pass phrase for server.key:												# 输入密码
Verifying - Enter pass phrase for server.key:									# 确认密码

3.创建服务器证书的申请文件

[root@Nginx ~]# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:												# 输入前面创建的密码
...
Country Name (2 letter code) [XX]:CN											# 国家代号. 中国输入 CN
State or Province Name (full name) []:BeiJing									# 省的全名. 拼音
Locality Name (eg, city) [Default City]:BeiJing									# 市的全名. 拼音
Organization Name (eg, company) [Default Company Ltd]:Coco						# 公司英文名
Organizational Unit Name (eg, section) []:										# 可以不输入
Common Name (eg, your name or your server's hostname) []:www.Coco.com			# 域名
Email Address []:ChenZhuang1217@163.com											# 电子邮箱. 可随意填
...
A challenge password []:														# 可以不输入
An optional company name []:													# 可以不输入

备份一份服务器密钥文件

[root@Nginx ~]# cp server.key server.key.org

去除文件口令

[root@Nginx ~]# openssl rsa -in server.key.org -out server.key
Enter pass phrase for server.key.org:											# 输入密码

4.生成证书文件

[root@Nginx ~]# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=Coco/CN=www.Coco.com/emailAddress=ChenZhuang1217@163.com
Getting Private key

5.修改 Nginx 主配置文件

[root@Nginx ~]# mkdir -p /usr/local/nginx/conf/ssl
[root@Nginx ~]# cp server.crt server.key /usr/local/nginx/conf/ssl/
[root@Nginx ~]# vim /usr/local/nginx/conf/nginx.conf
server {
    listen 443;															# 监听端口
    ssl on;																# 开启 SSL
    ssl_certificate ssl/server.crt;										# PS:我这里是相对路径. 你们可以使用绝对路径
    ssl_certificate_key ssl/server.key;									# 系统会在 /usr/local/nginx/conf/ 目录中寻找
    server_name  www.Coco.com;											# 证书对应的域名
    ...
}
[root@Nginx ~]# nginx -s reload											# 重启 Nginx 服务

nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl":因为版本高于 1.15 不过可以正常启动。

验证:访问刚才设置的域名 https://www.Coco.com/

实现客户端访问 httphttps 跳转:

这里说一下为什么要往配置文件里面再添加一个server,因为 http 协议使用的是 80 端口,而 https 协议使用的则是 443 端口

那么如果想要实现 http 跳转到 https,则需要配置两个虚拟主机(基于不同端口),然后使用 rewrite 来进行跳转。

错误配置:

在同一个 server 中开启多个端口,逻辑上来说其实并没有什么问题,但是当配置 rewrite 时,那么问题就出现了。

问题:当客户端访问 http 是会进行跳转,但是访问 https 也会跳转,这就导致了重定向次数过多。

server {
    listen 80;
    listen 443;
    server_name www.Coco.com;
    root html;
    index index.html index.htm;
    rewrite ^(.*)$ https://$host$1 permanent;
}

正确配置:

将 80 端口和 443 端口区分开,简单来说就是配置基于不同端口的虚拟主机。

这样即可实现访问 80 端口进行跳转,而访问 443 端口,则直接进行访问。

[root@Nginx ~]# vim /usr/local/nginx/conf/nginx.conf
server {
    listen 80;
    server_name  www.Coco.com;
    rewrite ^(.*)$ https://$host$1 permanent;
    ...
}
server {
    listen 443;
    ssl on;
    ssl_certificate ssl/server.crt;
    ssl_certificate_key ssl/server.key;
    server_name  www.Coco.com;
    ...
}
[root@localhost ~]# nginx -s reload

验证:访问 http://www.Coco.com

到此这篇关于基于Nginx实现HTTPS网站设置的步骤的文章就介绍到这了,更多相关Nginx HTTPS网站设置内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • 详解nginx实现https网站设置

    一.HTTPS简介 1.https简介 HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块.服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据 2.https协议原理 首先,客户端与服务器建立连接,各自生成私钥和公钥,是不同的.服务器返给客户端一个公钥,然后客户端拿着这个公钥把要搜索的东西加密,称之为密文,并连并自己的公钥一起返回给服务器,服务器拿着自己的私钥解密密文,然后把响应到的数据用客户端的公钥加密,返

  • 基于Nginx实现HTTPS网站设置的步骤

    目录 前言: 加密算法: 一.HTTPS 简介 二.Nginx 实现 HTTPS 网站设置 1.安装 Nginx 2.创建服务器证书密钥文件 3.创建服务器证书的申请文件 4.生成证书文件 5.修改 Nginx 主配置文件 前言: 首先在这里简单说一下为什么现在都在使用 HTTPS 协议: 其实使用 HTTPS 协议最大的原因就是因为 HTTP 协议不安全,因为 HTTP 数据传输时是:明文传输数据 也就是说当客户端在输入用户名和密码时,都会显示出来.而 HTTPS 协议的话则是 密文传输数据

  • Nginx部署https网站并配置地址重写的步骤详解

    Nginx是一款高性能的网站服务器和反向代理服务器,同时也是一个IMAP.POP3.SMTP等邮件代理服务器:nginx可以作为一个网站服务器进行网站的发布处理,另外nginx可以作为反向代理实现负载均衡的.本文介绍如何在centos6.9环境中,利用Nginx部署https网站,并配置地址重写. 1.环境准备:centos6.9主机一台,关闭防火墙和Selinux 安装依赖包:yum -y install openssl-devel  pcre-devel gcc 创建nginx用户: use

  • Nginx实现https网站配置代码实例

    https基础 443端口. 用于了一个叫密钥的东西. 不要觉得这些东西您不了解也能实现. 不可能的. 1.先成密钥.咱们直接linux下生成 假设nginx目录为 /usr/local/nginx-1.2.9 接下来 cd /usr/local/nginx-1.2.9/conf/; mkdir ssl; cd ssl; #下面开始创建密钥.如果不熟悉完全不必理会为什么这么做照做就可以了 openssl genrsa -des3 -out server.key 1024;#这一步会让您输入密码.

  • Nginx+SSL搭建 HTTPS 网站

    一.HTTPS 是什么? 根据维基百科的解释: 复制代码 代码如下: 超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定.HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输.HTTPS不应与在RFC 2660中定义的安全超文本传输协议(S-HTTP)相混. HTTPS 目前已经是所有注重隐私和安全的网站的首选,随着技术的不断发展,H

  • Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    HTTPS简介 HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的.HTTPS协议是在HTTP协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议.Https使用的默认端口是443.更多HTTPS原理可以参考阮一峰老师的文章:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html SSL证书 证书类

  • nginx通过https部署vue项目的完整步骤

    目录 一.生成证书 进入nginx安装目录 创建ssl文件目录 生成server.key,需要设置两次密码 生成无密码的server.key 创建服务器证书的申请文件 server.csr 生成crt证书文件server.crt 二.nginx配置 三.修改vue配置文件 总结 本篇主要记录vue项目,通过nginx实现https部署的免费方案.主要参考步骤和关键点如下所示. 一.生成证书 进入nginx安装目录 # 进入nginx目录 [root@hecs-402944 nginx]# cd

  • 基于nginx设置浏览器协商缓存过程详解

    这篇文章主要介绍了基于nginx设置浏览器协商缓存过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 强缓存与协商缓存的区别 强缓存:浏览器不与服务端协商直接取浏览器缓存 协商缓存:浏览器会先向服务器确认资源的有效性后才决定是从缓存中取资源还是重新获取资源 协商缓存运作原理 现在有一个这样的业务情景:后端的静态资源会不定时地发生更新,而因为浏览器默认使用强缓存,会默认从浏览器缓存中取到过时的资源. 现在我们希望浏览器每次获取资源的时候都向后

  • 基于Nginx禁止指定IP、国外IP访问我的网站

    目录 用Nginx禁止指定IP.国外IP访问我的网站 ①安装 geoip2 扩展依赖: ②下载 ngx_http_geoip2_module 模块: ③解压模块到指定路径 ④安装 nginx 模块 ⑤下载最新的 IP 地址数据库文件 ⑥配置 nginx 配置文件 ⑦模拟测试验证 总结 用Nginx禁止指定IP.国外IP访问我的网站 想要实现这个功能有很多方法,下面我就来介绍基于 Nginx 的 ngx_http_geoip2 模块来禁止国外 IP 访问网站. ①安装 geoip2 扩展依赖: [

  • 使用Nginx实现HTTPS双向验证的方法

    https单向验证应用广泛想必大家都很熟悉,我已经在一篇博文中分享过,这次来看看Nginx如何实现双向验证. 单向验证与双向验证的区别: 单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书. 双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书. 详细的握手过程: 单向验证 浏览器发送一个连接请求给安全服务器. 1.服务器将自己的证书,以及同证书相关的信息发送给客户浏览器. 2.客户浏览器检查服务器送过来的证书是否是由自己信赖的CA中心所签发的.如

随机推荐