b） 利用單項加密算法(加密特征碼)

利用對稱加密算法對數據加密的同時，也對特征碼進行加密；

接收方擁有和發送方一樣的密鑰，才可以解密加密後的數據和特征碼

而中間人加密的特征碼是沒有辦法讓接收方進行解密的，所以接收方獲取不了特征碼，直接丟棄數據

****************************************************************************

擴展說明：

01：那麽對稱密鑰如何有效的讓通訊雙方獲取呢

需要進行對稱密鑰協商過程，即通過密鑰交換機制（Internet key exchange IKE）

實現密鑰交換機制的協議稱為diffie-hellman協議

****************************************************************************

02) 生成自簽署的證書

[root@NFS-server-01 ~]# openssl req -new -x509 -key server1024.key -out server.crt -days 365

req <- 用於創建新的證書

new <- 表示創建的是新的證書

x509 <- 表示定義證書的格式為標準格式

key <- 表示調用的私鑰文件信息

out <- 表示輸出證書文件信息

days <- 表示證書的有效期

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN <- 定義生成證書的國家

State or Province Name (full name) []:BJ <- 定義生成證書的省份

Locality Name (eg, city) [Default City]:BJ <- 定義生成證書的城市

Organization Name (eg, company) [Default Company Ltd]:oldboy <- 定義生成證書的組織

Organizational Unit Name (eg, section) []:it <- 定義生成證書的職能部門

Common Name (eg, your name or your server's hostname) []:oldboy.com.cn <- 定義主機服務器名稱

說明：此輸出信息非常重要，客戶端在獲取證書前，會利用主機名與相應服務器之間建立連接，然後獲得證書

Email Address []:

#openssl x509 -text -in server.crt <- 用於查看證書中的信息

2）進行證書目錄規劃

# cd /application/nginx/conf/ <- 編譯安裝Nginx的程序目錄

# mkdir key

# cd key/

3) 創建私鑰文件

創建服務器私鑰，命令會讓你輸入一個口令： 這裏輸入的是oldboy

# openssl genrsa -des3 -out server.key 1024

Generating RSA private key, 1024 bit long modulus

......................++++++

...................++++++

e is 65537 (0x10001)

Enter pass phrase for server.key:

Verifying - Enter pass phrase for server.key:

4）創建請求證書

創建簽名請求的證書（CSR）：

openssl req -new -key server.key -out server.csr

擴展說明：去掉私鑰文件口令密碼信息

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key <- 生成無口令的私鑰

5）配置Nginx服務使之支持證書訪問

修改Nginx配置文件，讓其包含新標記的證書和私鑰：

server {

server_name YOUR_DOMAINNAME_HERE;

listen 443;

ssl on;

ssl_certificate /application/nginx/conf/key/server.crt;

ssl_certificate_key /application/nginx/conf/key/server.key;

}

方法二：利用error_page識別錯誤碼信息進行跳轉

server {

listen 443;

listen 80;

server_name www.etiantian.org;

ssl on;

ssl_certificate /application/nginx/conf/key/server.crt;

ssl_certificate_key /application/nginx/conf/key/server.key;

location / {

root html/www;

index index.html index.htm;

}

error_page 497 https://$host$uri;

}

說明：497為內置錯誤碼，當訪問http無法處理，需要利用https處理時

方法三：利用返回狀態碼實現跳轉訪問

server {

listen 80;

server_name www.etiantian.org;

return 301 https://$host$uri;

}

說明：在https配置server基礎上再添加http跳轉server

第二個裏程碑：修改地址池調用信息

server {

listen 443;

server_name www.etiantian.org;

ssl on;

ssl_certificate /application/nginx/conf/key/server.crt;

ssl_certificate_key /application/nginx/conf/key/server.key;

location / {

proxy_pass https://www_server_pools;

}

}

第三個裏程碑：定義http到https跳轉配置信息

server {

listen 80;

server_name www.etiantian.org;

rewrite ^(.*)$ https://$host$1 permanent;

}