ssl(https)介绍实验环境生成密钥对nginx配置SSLhttps

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ssl(https)介绍实验环境生成密钥对nginx配置SSLhttps相关的知识,希望对你有一定的参考价值。

ssl原理

http与https区别

http默认端口为80,https默认端口为443;
http传输数据为明文,https传输数据是加密的;

http是HTTP协议运行在TCP之上。所有传输的内容都是明文,客户端和服务器端都无法验证对方的身份;
https是HTTP运行在SSL/TLS之上,SSL/TLS运行在TCP之上。所有传输的内容都经过加密,加密采用对称加密,但对称加密的密钥用服务器方的证书进行了非对称加密。此外客户端可以验证服务器端的身份,如果配置了客户端验证,服务器方也可以验证客户端的身份。

https工作流程

1.完成TCP三次同步握手
2.客户端验证服务器的证书,通过,进入步骤3
3.DH算法协商对称加密算法的秘钥、hash算法的秘钥
4.SSL安全加密碎到协商完成;
5.网页用加密方式传输,用协商的加密算法加密,保证数据完整和不被篡改;


生成ssl密钥对

正常的网站https使用的ssl证书是需要购买的,我们做实验就只需要自己生成一个就行了,但是无法在网络上流通;

下载openssl生成软件

yum install -y openssl

进入密钥对目录

设置秘钥防止目录

cd /usr/local/nginx/conf/

生成私钥

注意这里要求设置密码

openssl genrsa -des3 -out tmp.key 2048

转换为无密码的私钥

注意:这里会提示要求输入老私钥文件tmp.key的密码;

openssl rsa -in tmp.key -out test.key

删除老的私钥
rm -rf tmp.key

生成证书请求文件

需要设置详细信息,可以直接回车默认

openssl req -new -key test.key -out test.csr

设置公钥有效期,生成公钥

openssl x509 -req -days 365 -in test.csr -signkey test.key -out test.crt

注意:test.crt才是公钥,test.csr只是请求文件,test.key是私钥;


nginx配置SSL

创建ssl配置文件

vim /usr/local/nginx/conf/vhost/ssl.conf

代码

server
{
    listen 443;                         //设置端口为443
    server_name shu.com;                //设置网站域名为shu.com
    index index.html index.php;
    root /data/wwwroot/shu.com;         //设置web的站点目录
    ssl on;                             //开启ssl功能
    ssl_certificate test.crt;           //指定公钥名字
    ssl_certificate_key test.key;       //指定私钥名字
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

检测与生效

/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx -s reload

测试

查看监听端口,有443则成功

netstat -lntp

使用https://shu.com访问,成功;

ssl错误处理:

在-t检测时,错误提示

nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/vhost/ssl.conf:7
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

提示:nginx不支持ssl,这是因为我们编译安装nginx时是最简单的模式编译的,没有指定ssl;

思路:

重新编译安装nginx

查看nginx之前编译的参数

/usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.12.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)
configure arguments: --prefix=/usr/local/nginx

进入源码包

cd /usr/local/src/nginx-1.12.2/

查询ssl需要增加配置

./configure --help |grep -i ssl

结果为:--with-http_ssl_module

重新编译nginx

./configure --prefix=/usr/local/nginx --with-http_ssl_module
make && make install

重启nginx服务

/etc/init.d/nginx restart

以上是关于ssl(https)介绍实验环境生成密钥对nginx配置SSLhttps的主要内容,如果未能解决你的问题,请参考以下文章

linux的Nginx负载均衡ssl原理生成ssl密钥对Nginx配置ssl介绍

Nginx负载均衡ssl原理生成ssl密钥对Nginx配置ssl

https如何生成密钥

tomcat+https /mysql+ssl /nginx+https

sh 为httpS生成SSL密钥

12.17Nginx负载均衡12.18ssl原理12.19生成ssl密钥对 20Nginx配置ssl