2. 程式人生 > 實用技巧 >https 證書配置

https 證書配置

阿新 發佈:2020-07-13

第一章 HTTPS 安全證書基本概述

為什麼需要使用HTTPS, 因為HTTP 不安全。當我們使用http 網站時,經常會遇到包遭到劫持和篡改,如果採用https 協議,那麼資料在傳輸過程中是加密的,所以黑客無法竊取或者篡改資料報文資訊。
https 主要解決了什麼問題,避免網站傳輸時資訊洩露,避免網站傳輸時內容不被劫持和篡改。
下面我們來了解一下HTTPS 證書型別
HTTPS 證書購買選擇

保護1 個域名www
保護5 個域名www images cdn test m
萬用字元域名 *.oldboy.com

HTTPS 注意事項

Https 不支援續費,證書到期需重新申請新並進行替換.
Https 如果是萬用字元域名,二級域名和三級域名需要分別購買,如test.m.oldboy.com
Https 顯示綠色, 說明整個網站的URL 都是https 的。
Https 顯示黃色, 因為網站程式碼中包含http的不安全連線。
Https 顯示紅色, 要麼證書是假的,要麼證書過期

第二章 Nginx 單臺實現HTTPS 實戰

1.環境準備

#nginx 必須有ssl 模組
[root@web01 ~]# nginx -V
--with-http_ssl_module

#建立存放ssl 證書的路徑
[root@web01 ~]# cd /etc/nginx/ssl_key
[root@web01 /etc/nginx/ssl_key]#

2.使用openssl 命令充當CA 權威機構建立證書(生產不使用此方式生成證書,因為不會被網際網路認可)

[root@web01 /etc/nginx/ssl_key]# openssl genrsa -idea -out server.key 2048
Generating RSA private key, 2048 bit long modulus
... +++
e is 65537 (0x10001)

#記住配置密碼, 我這裡是1234
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:

3.生成自簽證書,同時去掉私鑰的密碼


[root@web01 /etc/nginx/ssl_key]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BJ
Organization Name (eg, company) [Default Company Ltd]:edu
Organizational Unit Name (eg, section) []:SA
Common Name (eg, your name or your server's hostname) []:oldboy
Email Address []:[oldboy@oldboy.com](mailto:oldboy@oldboy.com)

# req -->用於建立新的證書
# new -->表示建立的是新證書
# x509 -->表示定義證書的格式為標準格式
# key -->表示呼叫的私鑰檔案資訊
# out -->表示輸出證書檔案資訊
# days -->表示證書的有效期

4.證書申請完成後需要了解Nginx 如何配置Https

#是否開始ssl 支援
Syntax: ssl on | off;
Default: ssl off;
Context: http, server

#ssl crt 檔案存放位置
Syntax: ssl_certificate file;
Default: —
Context: http, server

#ssl key 檔案存放位置
Syntax: ssl_certificate_key file;
Default: —
Context: http, server

5.配置Nginx 配置Https 例項

[root@web01 ~]# cat /etc/nginx/conf.d/ssl.conf
server {
    listen 443;
    server_name s.oldboy.com;
    ssl on;
    ssl_certificate ssl_key/server.crt;
    ssl_certificate_key ssl_key/server.key;
    location / {
        root /code;
        index index.html;
    }
}
#準備對應的站點目錄, 並重啟 Nginx 服務
[root@web01 ~]# mkdir -p /code
[root@web01 ~]# echo "Https" > /code/index.html
[root@web01 ~]# nginx -t
nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/ssl.conf:4
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
#有個報警提示,告訴我們需要使用listen ... ssl這樣的格式
[root@web01 ~]# cat /etc/nginx/conf.d/ssl.conf
server {
    listen 443 ssl;
    server_name s.oldboy.com;
    #ssl on;
    ssl_certificate ssl_key/server.crt;
    ssl_certificate_key ssl_key/server.key;
    location / {
        root /code;
        index index.html;
    }
}
#再次檢查就沒有問題了
[root@web01 ~]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@web01 ~]# systemctl restart nginx

6.瀏覽器輸入https://s.oldboy.com 訪問, 由於該證書非第三方權威機構頒發,而是我們自己簽發的,所以瀏覽器會警告

image.png

7.以上配置如果使用者忘記在瀏覽器位址列輸入https:// 那麼將不會跳轉至https,建議配置將使用者訪問http 請求強制跳轉https

[root@web01 ~]# cat /etc/nginx/conf.d/ssl.conf      
server {
    listen 443 ssl;
    server_name s.oldboy.com;
    #ssl on;
    ssl_certificate ssl_key/server.crt;
    ssl_certificate_key ssl_key/server.key;
    location / {
        root /code;
        index index.html;
    }
}
server {
    listen 80;
    server_name s.oldboy.com;
    #rewrite 跳轉方式
    rewrite ^(.*) https://$server_name$1 redirect;
    #return 跳轉方式
    #return 302 https://$server_name$request_uri;
}

第三章 Nginx 叢集實現HTTPS 實踐

實戰Nginx 負載均衡+Nginx WEB 配置HTTPS 安全

1.環境準備

主機名外網IP(NAT)內網IP(LAN)角色
lb01 eth0:10.0.0.5 eth1:172.16.1.5 nginx-proxy
web01 eth0:10.0.0.7 eth1:172.16.1.7 nginx-web01
web02 eth0:10.0.0.8 eth1:172.16.1.8 nginx-web02

2.配置後端兩臺web 節點監聽80 埠, 如已配置則無需修改

[root@web01 ~]# cat /etc/nginx/conf.d/blog.conf    
server {
        listen 80;
        server_name blog.oldboy.com;
        root /code/wordpress;
        index index.php index.html;

        location ~ \.php$ {
            root /code/wordpress;
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include fastcgi_params;
        }
}

3.配置第二臺WEB節點

[root@web01 ~]# scp -rp /etc/nginx/ssl_key/ root@172.16.1.8:/etc/nginx/
[root@web01 ~]# scp -rp /etc/nginx/conf.d/ root@172.16.1.8:/etc/nginx/

4.重啟兩臺後端web 節點Nginx

[root@web01 ~]# systemctl restart nginx
[root@web02 ~]# systemctl restart nginx

5.Nginx 負載均衡先生成證書

[root@lb01 ~]# mkdir /etc/nginx/ssl/ssh_key -p
[root@lb01 ~]# mkdir /etc/nginx/ssl_key -p
[root@lb01 ~]# cd /etc/nginx/ssl_key/
[root@lb01 /etc/nginx/ssl_key]# openssl genrsa -idea -out server.key 2048
[root@lb01 /etc/nginx/ssl_key]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BJ
Organization Name (eg, company) [Default Company Ltd]:edu
Organizational Unit Name (eg, section) []:SA
Common Name (eg, your name or your server's hostname) []:oldboy
Email Address []:[oldboy@oldboy.com](mailto:oldboy@oldboy.com)

6.Nginx 負載均衡配置檔案如下

[root@lb01 ~]# cat /etc/nginx/conf.d/proxy.conf
# 定義後端資源池
upstream site {
    server 172.16.1.7:80 max_fails=2 fail_timeout=10s;
    server 172.16.1.8:80 max_fails=2 fail_timeout=10s;
}

#https配置
server {
    listen 443 ssl;
    server_name blog.oldboy.com;
    ssl_certificate ssl_key/server.crt;
    ssl_certificate_key ssl_key/server.key;
    location / {
        proxy_pass http://site;
        include proxy_params;
    }
}
#使用者http請求跳轉至https
server {
    listen 80;
    server_name blog.oldboy.com;
    return 302 https://$server_name$request_uri;
}

7.重啟Nginx 負載均衡

[root@lb01 ~]# nginx -t
[root@lb01 ~]# systemctl restart nginx

8.配置代理和nginx服務都是https
proxy_params配置

proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 30;
proxy_send_timeout 60;
proxy_read_timeout 60;
proxy_buffering on;
proxy_buffer_size 32k;
proxy_buffers 4 128k;

反向代理配置檔案

# 定義後端資源池
upstream site {
    server 172.16.1.7:80 max_fails=2 fail_timeout=10s;
    server 172.16.1.8:80 max_fails=2 fail_timeout=10s;
}

upstream ssl {
    server 172.16.1.7:443 max_fails=2 fail_timeout=10s;
    server 172.16.1.8:443 max_fails=2 fail_timeout=10s;
}

#https配置
server {
    listen 443 ssl;
    server_name s.oldboy.com;
    ssl_certificate ssl_key/server.crt;
    ssl_certificate_key ssl_key/server.key;
    location / {
        proxy_pass https://ssl;
        include proxy_params;
    }
}
#使用者http請求跳轉至https
server {
    listen 80;
    server_name s.oldboy.com;
    return 302 https://$server_name$request_uri;
}

nginx配置檔案

server {
    listen 443 ssl;
    server_name s.oldboy.com;
    #ssl on;
    ssl_certificate ssl_key/server.crt;
    ssl_certificate_key ssl_key/server.key;
    location / {
        root /code;
        index index.html;
    }
}

9.wordpress和wecenter配置https
wecenter在後臺配置:



wordpress除了後臺配置以外還需要在nginx配置檔案裡新增php-fastcgi解析的引數

location ~ \.php$ {
    ...
    fastcgi_param  HTTPS on;
    ...
}



作者:被運維耽誤的廚子
連結:https://www.jianshu.com/p/70d58411e309
來源:簡書
著作權歸作者所有。商業轉載請聯絡作者獲得授權,非商業轉載請註明出處。

相關推薦

https 證書配置

第一章 HTTPS 安全證書基本概述 為什麼需要使用HTTPS, 因為HTTP 不安全。當我們使用http 網站時,經常會遇到包遭到劫持和篡改,如果採用https 協議,那麼資料在傳輸過程中是加密的,所以黑客無法竊取或者篡改資料報

https證書配置 (nginx 、apache)

技術標籤:Linuxnginxhttpsnginxlinuxssl 申請證書 網址:https://freessl.cn/ 填寫域名點選建立按照生成的解析資訊,去域名解析平臺做解析儲存到KeyManager (pc應用程式,需要下載,會有提示下載)在KeyManage

https請求配置ssl(不用keystore,直接用證書,java程式碼)

參考連結: https://stackoverflow.com/questions/12501117/programmatically-obtain-keystore-from-pem

騰訊雲nginx配置https證書

在騰訊雲申請證書,選擇免費1年的 然後等大概一小時,就會通過,然後下載證書

Nginx配置https證書

目前的大趨勢是升級HTTP為HTTPS 本章介紹怎樣實裝HTTPS證書 # 如果報 ssl 錯誤是Nginx安裝時未安裝ssl 請重新編譯nginx 可以參考我之前的部落格

通過jdk自制https證書配置到nginx中

生成證書 這裡使用自己生成的免費證書。在${JAVA_HOME}/bin 下可以看到keytool.exe,在改目錄開啟cmd然後輸入:

iManager微服務(雲套件)配置https證書流程步驟

針對10.1之前版本,需要手動去配置證書,未來版本會考慮進行介面化配置。 一、提前準備

iManager for K8S 配置https證書流程步驟

針對10.1及之前版本,需要手動去配置證書,未來版本會考慮進行介面化配置

springboot配置ssl變成https證書

   前段時間跳槽了,疫情期間啥也幹,老衲在經歷了一段困苦的情感生活和碼場生活雙重失敗後之後,想一心一意的寫程式碼了,回想了這個專案當中的一些新接觸的東西記下來,為了方便以後自己看,也給新手提供以下便

1分鐘瞭解https證書申請及配置

本文只是記錄下自已在給網站域名加上HTTPS的過程,不涉及到HTTS的具體原理,如要了解,請自行搜尋相關資訊。

Linux下生成https證書並且進行nginx配置

1,https證書生成 # 生成金鑰server.key,需要輸入密碼pass openssl genrsa -des3 -out server.key 2048

nginx同一個IP配置多個HTTPS證書

技術標籤:工具使用問題記錄記錄nginxhttpsssl 個人部落格地址 同一個IP配置多個https證書

使用 openssl 生成 https 證書, 並在 nginx 中配置 https

建立一個私鑰 openssl genrsa -des3 -out server.key 2048 注意:這一步需要輸入私鑰,否則會提示:You must type in 4 to 1023 characters

K8s 系列(三) - 如何配置 etcd https 證書

在 K8s 中,kube-apiserver 使用 etcd 對 REST object 資源進行持久化儲存,本文介紹如何配置生成自籤 https 證書,搭建 etcd 叢集給 apiserver 使用,並附相關坑點記錄。

如何為WordPress站點配置HTTPS證書

這是上一篇《如何為樹莓派上的WordPress站點配置自己的域名》的進階篇。 本篇介紹如何為WordPress站點,配置HTTPS證書

nginx使用ssl證書配置https

配置 nginx ssl server { # 伺服器埠使用443,開啟ssl, 這裡ssl就是上面安裝的ssl模組 listen443 ssl;

Docker Registry Server 搭建,配置免費HTTPS證書,及擁有許可權認證、TLS 的私有倉庫

上一篇文章搭建了一個具有基礎功能的私有倉庫,這次來搭建一個擁有許可權認證、TLS 的私有倉庫。

使用Let's Encrypt的SSL證書配置HTTPS手記

前段時間,看見很多大會都在分享全站HTTPS的經驗。HTTPS固然好,前提是SSL證書,並且簽發證書的機構要靠譜。沃通的CA證書就相繼被Mozilla和Google封殺了。曾經對於普通使用者,權威,安全,並且免費的證書無疑就像天

關於iOS證書配置介紹

一、概念介紹 登入開發者賬號,開啟Certificates,Indentifiers & Profiles,可以看到如下內容

HTTPS證書通過cert-manager自動獲取,部署,續期

HTTP-01驗證和DNS-01驗證 使用cert-manager給阿里雲的DNS域名授權SSL證書 第一步:安裝cert-manager配置 CRD kubectl apply -f https://raw.githubusercontent.com/jetstack/cert-manager/release-0.6/deploy/manife