zoukankan      html  css  js  c++  java
  • SSL证书部署HTTPS站点Apache/Nginx配置

    SSL证书及HTTPS协议

    SSL 证书是一种数字证书,它使用 Secure Socket Layer 协议在浏览器和 Web 服务器之间建立一条安全通道,从而实现:
    1、数据信息在客户端和服务器之间的加密传输,保证双方传递信息的安全性,不可被第三方窃听;
    2、用户可以通过服务器证书验证他所访问的网站是否真实可靠。

    要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA).CA验证证书请求及您的身份,然后将证书返回给您的安全服务器。

    但是内网实现一个服务器端和客户端传输内容的加密,可以自己给自己颁发证书,只需要忽略掉浏览器不信任的警报即可!

    由CA签署的证书为您的服务器提供两个重要的功能:

    • 浏览器会自动识别证书并且在不提示用户的情况下允许创建一个安全连接
    • 当一个CA生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。
    • 多数支持ssl的web服务器都有一个CA列表,它们的证书会被自动接受。当一个浏览器遇到一个其授权CA并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接

    生成SSL证书

    # 生成一个RSA密钥 
    $ openssl genrsa -des3 -out 33iq.key 1024
     
    # 拷贝一个不需要输入密码的密钥文件
    $ openssl rsa -in 33iq.key -out 33iq_nopass.key
     
    # 生成一个证书请求
    $ openssl req -new -key 33iq.key -out 33iq.csr
     
    # 自己签发证书
    $ openssl x509 -req -days 365 -in 33iq.csr -signkey 33iq.key -out 33iq.crt

    第3个命令是生成证书请求,会提示输入省份、城市、域名信息等,重要的是,email一定要是你的域名后缀的。这样就有一个 csr 文件了,提交给 ssl 提供商的时候就是这个 csr 文件。当然我这里并没有向证书提供商申请,而是在第4步自己签发了证书。

    HTTPS 是以安全为目标的 HTTP 通道,即 HTTP 下加入 SSL 加密层。HTTPS 不同于 HTTP 的端口,HTTP默认端口为80,HTTPS默认端口为443。

    apache,nginx配置HTTPS

    nginx配置,/etc/nginx/nginx.conf 加入:

         server {
                listen     80;
                server_name kwdst.welcom.cn;
                rewrite ^ https://$http_host$request_uri? permanent;
               }
            server {
                listen 443 ssl;
                server_name kwdst.welcom.cn
                ssl on;
                ssl_certificate  /etc/nginx/cert/2ceo.pem;       //路径
                ssl_certificate_key /etc/nginx/cert/2ceo.key;    
                ssl_session_timeout 5m;
                ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
                ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
                ssl_prefer_server_ciphers on;
                location / {
                    root /var/www/static;
                    add_header 'Access-Control-Allow-Origin' '*';
                    add_header 'Access-Control-Allow-Credentials' 'true';
                }
            }

    Apache 可直接在apache2.conf中加入也可以在/etc/apache/sites-enabled/创建 .conf后缀的配置文件.

    <VirtualHost *:80>
            ServerName  kwdbiz.welcom.cn
            ServerAdmin webmaster@localhost
            DocumentRoot /var/www/html/carku/public
            ErrorLog ${APACHE_LOG_DIR}/error.log
            CustomLog ${APACHE_LOG_DIR}/access.log combined
    
            RewriteEngine on
            RewriteCond %{HTTPS} !=on
            RewriteRule ^(.*)?$ https://%{SERVER_NAME}$1 [L,R]</VirtualHost>
    <VirtualHost *:443>
            ServerName kwdbiz.welcom.cn
            ServerAdmin webmaster@localhost
            DocumentRoot /var/www/html/carku/public
    
            ErrorLog ${APACHE_LOG_DIR}/error.log
            CustomLog ${APACHE_LOG_DIR}/access.log combined
    
            SSLEngine on
            SSLCertificateFile      /etc/apache2/cert/2ceo/2ceo.pem
            SSLCertificateKeyFile /etc/apache2/cert/2ceo/2ceo.key
    
            <FilesMatch ".(cgi|shtml|phtml|php)$">
                                    SSLOptions +StdEnvVars
                    </FilesMatch>
                    <Directory /usr/lib/cgi-bin>
                                    SSLOptions +StdEnvVars
                    </Directory>
    </VirtualHost>

    重启apache/nginx即可访问HTTPS 网站.

    使用HTTPS协议安全但对服务器来说是很大的负载开销,所以一般对一些安全有要求的操作使用HTTPS安全加密,如:交易,用户密码相关等.

    在https server下加入如下配置:

    if ($uri !~* "/login.php$")
    {
        rewrite ^/(.*)$ http://$host/$1 redirect;
    }
     

    在http server下加入如下配置:

    if ($uri ~* "/login.php$")
    {
        rewrite ^/(.*)$ https://$host/$1 redirect;
    }

    这样一来,用户会且只会在访问login.php的情况下,才会通过https访问。

  • 相关阅读:
    java 技术社区!!
    有关 gridview的 (做东西 容易忘记 记下!)
    【C#复习之虚方法vs抽象类】08.4.3 上午
    高分求解答!!!
    【学习笔记】asp.net MVC!
    asp.net ajax 尝试 之很好很强大!08.4.4
    Linux流量监控工具 – iftop (最全面的iftop教程)
    linux下查看某目录占用的空间大小
    基于CentOS的Linux基本网络配置,包括网卡eth0、DNS、Host等
    ubuntu安装ssh服务
  • 原文地址:https://www.cnblogs.com/yimingwang/p/9860331.html
Copyright © 2011-2022 走看看