AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

【运维知识进阶篇】集群架构-HTTPS证书详解(上)

2023-08-10 133
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
.cn 域名,1个 12个月
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 【运维知识进阶篇】集群架构-HTTPS证书详解

94 篇文章0 订阅

订阅专栏

HTTPS证书在企业中非常重要,因为HTTP不安全,采用HTTP协议容易受到劫持和篡改,如果是采用HTTPS,数据在传输过程中加密,可以避免报文信息被窃取篡改,避免网站传输时信息泄露。实现https,要了解SSL协议,现在我们使用的大多是TLS加密协议了,HTTPS运行在应用层,TLS应用在表示层,是SSL协议发挥作用的一层,使应用层的HTTP协议在没有感知的情况下实现了数据的加密传输。

HTTP加密传输流程

浏览器发起请求,服务端接收请求,返回给浏览器证书、证书中包含公钥,浏览器判断证书是否合法,如果不合法进行警告提示。如果合法,生成随机数,通过公钥加密随机数,把加密后的随机数传输给服务端,服务端通过私钥解密获得随机数,通过传入随机数的对称加密,对数据进行加密,将加密后的内容传输给浏览器,浏览器根据本地存储的随机数进行解密。

模拟网站被篡改

1、配置Nginx文件

1. [root@Web01 test]# cat /etc/nginx/conf.d/test.conf server {
2.  listen 80;
3.  server_name test.koten.com;
4.  root /code/test;
5.  index index.html;
6.  charset utf-8;
7. }

2、配置Nginx页面

1. [root@Web01 test]# cat /code/test/index.html 
2. <!DOCTYPE html>
3. <html lang="en">
4. <head>
5. <meta charset="UTF-8">
6. <title>我是title</title>
7. </head>
8. <body>
9. <article>
10. <header>
11. <h1>你好</h1>
12. </header>
13. <p>
14. <b>你</b>最近过的好嘛?
15. </p>
16. <footer>
17. <p><small>版权所有@koten</small></p>
18. </footer>
19. </article>
20. </body>
21. </html>
22. [root@Web01 test]#

3、查看Nginx页面

4、配置Nginx拦截服务器

1. [root@Web02 ~]# vim /etc/nginx/conf.d/jiechi_test.conf
2. upstream jiechi {
3.         server 10.0.0.7:80;
4. }
5. 
6. server {
7.         listen 80;
8.         server_name test.koten.com;
9. 
10. location / {
11.                 proxy_pass http://jiechi;
12.                 proxy_set_header Host $http_host;
13.                 sub_filter '<h1>你好' '<h1>我好';
14.                 sub_filter '<small>版权所有' ' <sma
15. ll>开源';
16.         }
17. }
18. <t.conf" [New] 15L, 360C written 
19. [root@Web02 ~]# systemctl restart nginx

5、查看篡改后的内容

6、添加篡改广告

1. [root@web02 conf.d]# vim jiechi_test.conf
2. upstream jiechi {
3.         server 10.0.0.7:80;
4. }
5. 
6. server {
7.         listen 80;
8.         server_name test.koten.com;
9. 
10. location / {
11.                 proxy_pass http://jiechi;
12.                 proxy_set_header Host $http_host;
13.                 sub_filter '<h1>你好' '<h1>花生瓜子烤鱼片';
14.                 sub_filter '<small>版权所有' ' <small><img src="https://p6.itc.cn/q_70/images03/20201226/f979021adb324417bb6dd3889698ee0b.jpeg">';
15.         }
16. }
17. <hi_test.conf" 15L, 459C written 
18. [root@Web02 ~]# systemctl restart nginx

7、查看篡改界面

证书类型介绍

  域名型DV 企业型OV 增强型EV
绿色地址栏 小锁标记+HTTPS 小锁标记+HTTPS 小锁标记+企业名称+HTTPS
一般用途 个人站点,简单的HTTPS加密需求 电子商务站点和应用,中小型企业站点 大型金融平台,大型企业和政府机构站点
审核内容 域名所有权验证 全面的企业身份验证,域名所有权验证 最高等级的企业身份验证,域名所有权验证
颁发时长 几分钟-24小时 3-5工作日 5-7工作日
单次申请年限 1年 1-2年 1-2年
赔付保障金 125-175万美金 150-175美金

证书购买选择及注意事项

可以选择保护 一个域名www

                      五个域名www、images、cdn、test、m

                      通配符域名*.koten.com

注意

1、证书不支持续费,证书到期需要重新申请并进行替换

2、不支持三级域名解析,如test.m.koten.com

3、显示绿色,说明整个网站的URL都是HTTPS,显示黄色,说明网站代码中包含HTTP的不安全链接,显示红色,说明证书是假的或者证书过期。

 

Nginx单台服务器实现证书

1、Nginx上需要有--with-http_ssl_module模块,创建存放ssl证书的路径

1. [root@Web01 test]# mkdir -p /etc/nginx/ssl_key
2. [root@Web01 test]# cd /etc/nginx/ssl_key/
3. [root@Web01 ssl_key]#

2、使用openssl命令充当CA权威机构创建证书(生产不使用此方式生成证书,这是不被互联网认可的黑户证书)

1. [root@Web01 ssl_key]# openssl genrsa -idea -out server.key 2048
2. Generating RSA private key, 2048 bit long modulus
3. ...............................+++
4. .....+++
5. e is 65537 (0x10001)
6. Enter pass phrase for server.key:    #输入密码6666
7. Verifying - Enter pass phrase for server.key:
8. [root@Web01 ssl_key]#

3、生成自签证书,同时去掉私钥的密码

1. [root@Web01 ssl_key]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
2. Generating a 2048 bit RSA private key
3. ..............................................................................+++
4. ...+++
5. writing new private key to 'server.key'
6. -----
7. You are about to be asked to enter information that will be incorporated
8. into your certificate request.
9. What you are about to enter is what is called a Distinguished Name or a DN.
10. There are quite a few fields but you can leave some blank
11. For some fields there will be a default value,
12. If you enter '.', the field will be left blank.
13. -----
14. Country Name (2 letter code) [XX]:CN
15. State or Province Name (full name) []:BeiJing
16. Locality Name (eg, city) [Default City]:BeiJing
17. Organization Name (eg, company) [Default Company Ltd]:BeiJing 
18. Organizational Unit Name (eg, section) []:BeiJing
19. Common Name (eg, your name or your server's hostname) []:koten.com
20. Email Address []:666666@qq.com   
21. [root@Web01 ssl_key]# 
22. 
23. 
24. # req  --> 用于创建新的证书
25. # new  --> 表示创建的是新证书    
26. # x509 --> 表示定义证书的格式为标准格式
27. # key  --> 表示调用的私钥文件信息
28. # out  --> 表示输出证书文件信息
29. # days --> 表示证书的有效期

4、修改Nginx配置文件

1. [root@Web01 ssl_key]# cat /etc/nginx/conf.d/test.conf 
2. server {
3.         listen 443 ssl;
4.         server_name test.koten.com;
5.         ssl_certificate   /etc/nginx/ssl_key/server.crt;
6.         ssl_certificate_key  /etc/nginx/ssl_key/server.key;
7. location / {
8.                 root /code/test;
9. index index.html;
10.         }
11. }
12. 
13. #配置将用户访问http请求强制跳转https
14. server {
15.         listen 80;
16.         server_name test.koten.com;
17. return 302 https://$server_name$request_uri;
18. }
19. [root@Web01 ssl_key]# systemctl restart nginx
20. [root@Web01 ssl_key]# echo '测试ssl' > /code/test/index.html

5、浏览器访问

文章标签:
域名
密钥管理服务
应用服务中间件
数据建模
运维
网络安全
数据安全/隐私保护
CDN
nginx
域名解析
存储
关键词:
运维架构
HTTPS证书
架构运维
运维集群
集群HTTPS
我是koten
目录
相关文章
游客h32k5knbm4dwi
|
15天前
|
安全 网络安全 数据安全/隐私保护
政务单位IP地址https证书
政务单位IP地址HTTPS证书是一种专为只有IP地址而无域名的政务网站设计的数字证书,用于加密通信、确保数据安全并提升用户信任度。申请流程包括选择证书颁发机构、提交申请并验证、部署证书等步骤。证书有效期通常为一年或多年,需定期更新以确保安全性。
游客h32k5knbm4dwi
29 2
众所周知
|
16天前
|
运维 Serverless 数据处理
Serverless架构通过提供更快的研发交付速度、降低成本、简化运维、优化资源利用、提供自动扩展能力、支持实时数据处理和快速原型开发等优势,为图像处理等计算密集型应用提供了一个高效、灵活且成本效益高的解决方案。
Serverless架构通过提供更快的研发交付速度、降低成本、简化运维、优化资源利用、提供自动扩展能力、支持实时数据处理和快速原型开发等优势,为图像处理等计算密集型应用提供了一个高效、灵活且成本效益高的解决方案。
众所周知
51 1
众所周知
|
1月前
|
运维 Serverless 数据处理
Serverless架构通过提供更快的研发交付速度、降低成本、简化运维、优化资源利用、提供自动扩展能力、支持实时数据处理和快速原型开发等优势,为图像处理等计算密集型应用提供了一个高效、灵活且成本效益高的解决方案。
Serverless架构通过提供更快的研发交付速度、降低成本、简化运维、优化资源利用、提供自动扩展能力、支持实时数据处理和快速原型开发等优势,为图像处理等计算密集型应用提供了一个高效、灵活且成本效益高的解决方案。
众所周知
57 3
萝卜带泥
|
8天前
|
机器学习/深度学习 运维 监控
智能运维在现代IT架构中的转型之路####
【10月更文挑战第29天】 本文旨在探讨智能运维(AIOps)如何成为现代IT架构不可或缺的一部分,通过分析其核心价值、关键技术及实践案例,揭示AIOps在提升系统稳定性、优化资源配置及加速故障响应中的关键作用。不同于传统运维模式的被动响应,智能运维强调预测性维护与自动化处理,为企业数字化转型提供强有力的技术支撑。 ####
萝卜带泥
36 0
131王
|
1月前
|
存储 运维 监控
高效运维:从基础架构到自动化管理的全面指南
【10月更文挑战第11天】 本文将深入探讨如何通过优化基础架构和引入自动化管理来提升企业IT运维效率。我们将从服务器的选择与配置、存储解决方案的评估,到网络的设计与监控,逐一解析每个环节的关键技术点。同时,重点讨论自动化工具在现代运维中的应用,包括配置管理、持续集成与部署(CI/CD)、自动化测试及故障排除等方面。通过实际案例分析,展示这些技术如何协同工作,实现高效的运维管理。无论是IT初学者还是经验丰富的专业人员,都能从中获得有价值的见解和实操经验。
131王
61 1
叫个什么名字
|
1月前
|
存储 运维 监控
高效运维管理:从基础架构优化到自动化实践
在当今数字化时代,高效运维管理已成为企业IT部门的重要任务。本文将探讨如何通过基础架构优化和自动化实践来提升运维效率,确保系统的稳定性和可靠性。我们将从服务器选型、存储优化、网络配置等方面入手,逐步引导读者了解运维管理的核心内容。同时,我们还将介绍自动化工具的使用,帮助运维人员提高工作效率,降低人为错误的发生。通过本文的学习,您将掌握高效运维管理的关键技巧,为企业的发展提供有力支持。
叫个什么名字
26 1
小Lee
|
1月前
|
存储 网络安全 对象存储
缺乏中间证书导致通过HTTPS协议访问OSS异常
【10月更文挑战第4天】缺乏中间证书导致通过HTTPS协议访问OSS异常
小Lee
87 4
椰椰椰耶
|
1月前
|
安全 算法 量子技术
【HTTPS】中间人攻击和证书的验证
【HTTPS】中间人攻击和证书的验证
椰椰椰耶
50 1
小Lee
|
1月前
|
存储 缓存 安全
https访问提示不安全,证书密钥验证上如何解决
【10月更文挑战第4天】访问提示不安全,证书密钥验证上如何解决
小Lee
254 2
ZCOM
|
30天前
|
存储 运维 监控
实时计算Flink版在稳定性、性能、开发运维、安全能力等等跟其他引擎及自建Flink集群比较。
实时计算Flink版在稳定性、性能、开发运维和安全能力等方面表现出色。其自研的高性能状态存储引擎GeminiStateBackend显著提升了作业稳定性,状态管理优化使性能提升40%以上。核心性能较开源Flink提升2-3倍,资源利用率提高100%。提供一站式开发管理、自动化运维和丰富的监控告警功能,支持多语言开发和智能调优。安全方面,具备访问控制、高可用保障和全链路容错能力,确保企业级应用的安全与稳定。
ZCOM
38 0

热门文章

最新文章

  • 1
    最新发布!阿里云卓越架构框架重磅升级
  • 2
    日交易笔百万级,Ping++的大数据平台架构
  • 3
    转发-基于ASP.NET MVC 4/5 Razor的模块化/插件式架构实现
  • 4
    Dubbo架构介绍
  • 5
    nginx反代varnish缓存服务器实现后端amp动静分离架构
  • 6
    《数据虚拟化:商务智能系统的数据架构与管理》一 2.3 管理层次与决策制定
  • 7
    Flutter+Serverless 端到端研发架构实践
  • 8
    第02章 MySQL的数据目录【1.MySQL架构篇】【MySQL高级】
  • 9
    2011年下半年11月份系统架构设计师上午试题答案之一
  • 10
    架构师速成7.5-性能优化为什么写的这么晚?
  • 1
    HTTPS与HTTP的一些区别
    85
  • 2
    HTTPS协议深度解析
    335
  • 3
    https://developer.aliyun.com/article/1564927(7)
    110
  • 4
    https://blog.csdn.net/a1657054242/article/details/139965955?spm=1001.2014.3001.5502
    38
  • 5
    【Python】已解决:WARNING: Discarding https://pypi.tuna.tsinghua.edu.cn/packages/74/2b/3584369fad8352ed171
    55
  • 6
    若依修改,http和https的两种写法,部署成功的两种写法
    256
  • 7
    支付系统11 -微信支付11-支付安全-https中的数字证书
    66
  • 8
    https【详解】与http的区别,对称加密,非对称加密,证书,解析流程图
    152
  • 9
    文本,文字识别02----PaddleOCR基础概念及介绍,安装和使用,人工智能是一种使计算机模仿人类的一种技术,PaddleOCR的安装地址-https://www.paddlepaddle.org
    138
  • 10
    Get “https://npm.taobao.org/mirrors/node/latest/SHASUMS256.txt“: tls: failed to verify certificate:
    337

    • 相关课程

    更多
  • Serverless 函数计算架构
  • 架构的演进
  • Linux企业运维实战 - 入门及常用命令
  • MySQL企业常见架构与调优经验分享
  • 企业Web常用架构LAMP-LNMP实战
  • 玩转云上智能运维

    • 相关电子书

    更多
  • 企业运维之云原生和Kubernetes 实战
  • 可视化架构运维实践
  • 2021云上架构与运维峰会演讲合集

    • 相关实验场景

    更多
  • 在SAE控制台极速部署个人LLM效能工具
  • 容器服务Serverless版ACK Serverless 快速入门:在线魔方应用部署和监控
  • 使用操作系统智能助手OS Copilot解锁操作系统运维与编程
  • 每个IT人都想学的“Web应用上云经典架构”实战
  • 通过HTTPS加速网关快速部署网站加密
  • MySQL引擎及架构优化
    • 下一篇
    阿里云OSS设置跨域访问