ssl（https）介绍实验环境生成密钥对nginx配置SSLhttps

Posted 2020-10-27

ssl原理

http与https区别

http默认端口为80，https默认端口为443；
http传输数据为明文，https传输数据是加密的；

http是HTTP协议运行在TCP之上。所有传输的内容都是明文，客户端和服务器端都无法验证对方的身份；
https是HTTP运行在SSL/TLS之上，SSL/TLS运行在TCP之上。所有传输的内容都经过加密，加密采用对称加密，但对称加密的密钥用服务器方的证书进行了非对称加密。此外客户端可以验证服务器端的身份，如果配置了客户端验证，服务器方也可以验证客户端的身份。

https工作流程

1.完成TCP三次同步握手
2.客户端验证服务器的证书，通过，进入步骤3
3.DH算法协商对称加密算法的秘钥、hash算法的秘钥
4.SSL安全加密碎到协商完成；
5.网页用加密方式传输，用协商的加密算法加密，保证数据完整和不被篡改；

---

生成ssl密钥对

正常的网站https使用的ssl证书是需要购买的，我们做实验就只需要自己生成一个就行了，但是无法在网络上流通；

下载openssl生成软件

yum install -y openssl

进入密钥对目录

设置秘钥防止目录

cd /usr/local/nginx/conf/

生成私钥

注意这里要求设置密码

openssl genrsa -des3 -out tmp.key 2048

转换为无密码的私钥

注意：这里会提示要求输入老私钥文件tmp.key的密码；

openssl rsa -in tmp.key -out test.key

删除老的私钥
rm -rf tmp.key

生成证书请求文件

需要设置详细信息，可以直接回车默认

openssl req -new -key test.key -out test.csr

设置公钥有效期，生成公钥

openssl x509 -req -days 365 -in test.csr -signkey test.key -out test.crt

注意：test.crt才是公钥，test.csr只是请求文件，test.key是私钥；

---

nginx配置SSL

创建ssl配置文件

vim /usr/local/nginx/conf/vhost/ssl.conf

代码

server
{
    listen 443;                         //设置端口为443
    server_name shu.com;                //设置网站域名为shu.com
    index index.html index.php;
    root /data/wwwroot/shu.com;         //设置web的站点目录
    ssl on;                             //开启ssl功能
    ssl_certificate test.crt;           //指定公钥名字
    ssl_certificate_key test.key;       //指定私钥名字
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

检测与生效

/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx -s reload

测试

查看监听端口，有443则成功

netstat -lntp

使用https://shu.com访问，成功；

ssl错误处理：

在-t检测时，错误提示

nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/vhost/ssl.conf:7
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

提示：nginx不支持ssl，这是因为我们编译安装nginx时是最简单的模式编译的，没有指定ssl；

思路：

重新编译安装nginx

查看nginx之前编译的参数

/usr/local/nginx/sbin/nginx -V

nginx version: nginx/1.12.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)
configure arguments: --prefix=/usr/local/nginx

进入源码包

cd /usr/local/src/nginx-1.12.2/

查询ssl需要增加配置

./configure --help |grep -i ssl

结果为：--with-http_ssl_module

重新编译nginx

./configure --prefix=/usr/local/nginx --with-http_ssl_module
make && make install

重启nginx服务

/etc/init.d/nginx restart