nginx和ssl模块

本文涉及的产品
.cn 域名,1个 12个月
简介: nginx和ssl模块

SSL:安全套接字层,由Netscape公司于1994年创建,它旨在通过Web创建安全的Internet通信。

   它是一种标准协议,用于加密浏览器和服务器之间的通信。它允许通过Internet安全轻松地传输账号密码、银行卡、手机号等私密信息。

SSL常见应用:    

   https:启用ssl加密的安全HTTP传输协议 443

   ipsec vpn

PKI:公钥基础设施,主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书),

   为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,

   并利用数字证书及相关的各种服务(证书发布,黑名单发布,时间戳服务等),

   实现通信中各实体的身份认证、完整性、抗抵赖性和保密性.

   标准:x.509

CA:证书颁发机构

RA:证书注册机构

证书的内容:

   申请者的公钥

   申请者的身份标识

   证书有效期

   颁发者的标识

   颁发者的签名

 

HTTPS证书的选择

   DV型  域名型,不显示企业名

   OV型  企业型,显示企业名

   EV型  企业增强型,防止代申请

 

HTTPS证书购买选择

   单域名:仅能绑定一个域名

   多域名:能绑定五个域名

   通配符域名:不限个数

 

HTTPS注意事项

   https仅支持二级域名    

   https不支持续费,证书到期重新申请替换

   https显示绿色,说明整个网站都是https的

   https显示黄色,网站代码中包含https不安全链接

   https显示红色,证书不认或过期

 

企业内部实现https案例:

生成key密钥

生成证书签名请求文件(csr文件)

生成证书签名文件(ca文件)


1.查看是否安装openssl和版本

rpm -q openssl
yum -y install openssl
openssl version

 查看nginx是否安装ssl模块

nginx -V  显示结果包含: --with-http_ssl_module

 创建ssl密钥目录,并进入目录

mkdir -p /etc/nginx/ssl_key 
cd /etc/nginx/ssl_key

2.本机当CA:证书颁发机构,创建私钥

openssl genrsa -idea -out server.key 2048

3.生成证书,去掉私钥的密码

openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt

4.配置https网站

vim /etc/nginx/conf.d/https.conf

添加:

server {
        listen 443 ssl;
        server_name https.benet.com;
        ssl_certificate ssl_key/server.crt;
        ssl_certificate_key ssl_key/server.key;
        location / {
                root /httpsweb;
                index index.html;
        }
}

保存退出

mkdir /httpsweb
echo "<h1>https.benet.com</h1>" > /httpsweb/index.html
systemctl restart nginx 

5.客户机修改hosts文件,使用https://https.benet.com访问测试。6.rewrite地址重写(http重定向到https)

vim /etc/nginx/conf.d/https.conf
server {
        listen 443 ssl;
        server_name https.benet.com;
        ssl_certificate ssl_key/server.crt;
        ssl_certificate_key ssl_key/server.key;
        location / {
                root /httpsweb;
                index index.html;
        }
}
server {
        listen 80;
        server_name https.benet.com;
#       rewrite .* https://https.benet.com;
#       rewrite .* https://$host$request_uri redirect;
#       rewrite .* https://$server_name$request_uri redirect;
        rewrite .* https://$server_name$1 redirect;
}

保存退出7.配置负载均衡https

vim /etc/nginx/conf.d/lb_https.conf

添加:

upstream webhttps {
        server 192.168.1.109:443;
        server 192.168.1.111:443;
}
server {
        listen 443 ssl;
        server_name https.benet.com;
        ssl_certificate ssl_key/server.crt;
        ssl_certificate_key ssl_key/server.key;
        location / {
                proxy_pass https://webhttps;
        }
}
server {
        listen 80;
        server_name https.benet.com;
        return 302 https://$server_name$1;
}

保存退出8.模拟案例:配置https的blog、zh(web2和web1配置相同)选做

(1)配置web1的blog

vim /etc/nginx/conf.d/blog.conf

添加:

server {
        listen 443 ssl;
        server_name blog.benet.com;
        ssl_certificate ssl_key/server.crt;
        ssl_certificate_key ssl_key/server.key;
        root /wordpress;
        index index.php index.html;
        location ~ \.php$ {
                root /wordpress;
                fastcgi_pass 192.168.1.110:9000;
                fastcgi_index index.php;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                include fastcgi_params;
        }
}
server {
        listen 80;
        server_name blog.benet.com;
#       rewrite .* https://blog.benet.com;
#       rewrite .* https://$host$request_uri redirect;
#       rewrite .* https://$server_name$request_uri redirect;
        rewrite .* https://$server_name$1 redirect;
}

保存退出(2)配置web1的zh

vim /etc/nginx/conf.d/zh.conf

添加:

server {
        listen 443 ssl;
        server_name zh.benet.com;
        ssl_certificate ssl_key/server.crt;
        ssl_certificate_key ssl_key/server.key;
        root /zh;
        index index.php index.html;
        location ~ \.php$ {
                root /zh;
                fastcgi_pass 192.168.1.110:9000;
                fastcgi_index index.php;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                include fastcgi_params;
        }
}
server {
        listen 80;
        server_name zh.benet.com;
#       rewrite .* https://zh.benet.com;
#       rewrite .* https://$host$request_uri redirect;
#       rewrite .* https://$server_name$request_uri redirect;
        rewrite .* https://$server_name$1 redirect;
}

保存退出    

nginx -t

systemctl restart nginx(3)配置负载均衡lb1

vim /etc/nginx/conf.d/lb1.conf

添加:

upstream web_cluster {
        server 192.168.1.109:443;
        server 192.168.1.111:443;
}
server {
        listen 443 ssl;
        server_name blog.benet.com;
        ssl_certificate ssl_key/server.crt;
        ssl_certificate_key ssl_key/server.key;
        location / {
                proxy_pass https://web_cluster;
                include nginx_params;
        }
}
server {
        listen 443 ssl;
        server_name zh.benet.com;
        ssl_certificate ssl_key/server.crt;
        ssl_certificate_key ssl_key/server.key;
        location / {
                proxy_pass https://web_cluster;
                include nginx_params;
    }
}
server {
        listen 80;
        server_name blog.benet.com;
        return 302 https://$server_name$1;
}
server {
        listen 80;
        server_name zh.benet.com;
        return 302 https://$server_name$1;
}

保存退出

1. nginx -t
2. systemctl restart nginx

==============================

www.baidu.com.         #FQDN 完整合格域名


.         根服务器,世界共13台(美8  欧4  日1)

com     顶级或一级服务器(com 商业; gov 政府;edu 教育;mil 军事;org 自由论坛;net 网络组织;cn 中国;us 美国)

baidu    二级域名

www        主机头

目录
相关文章
|
4月前
|
应用服务中间件 Linux 网络安全
如何在 CentOS 7 上为 Nginx 创建自签名 SSL 证书
如何在 CentOS 7 上为 Nginx 创建自签名 SSL 证书
218 1
|
24天前
|
安全 应用服务中间件 网络安全
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
48 3
|
24天前
|
安全 应用服务中间件 网络安全
配置Nginx反向代理实现SSL加密访问的步骤是什么?
我们可以成功地配置 Nginx 反向代理实现 SSL 加密访问,为用户提供更安全、可靠的网络服务。同时,在实际应用中,还需要根据具体情况进行进一步的优化和调整,以满足不同的需求。SSL 加密是网络安全的重要保障,合理配置和维护是确保系统安全稳定运行的关键。
86 3
|
2月前
|
安全 应用服务中间件 Shell
nginx配置https的ssl证书和域名
nginx配置https的ssl证书和域名
|
2月前
|
应用服务中间件 网络安全 nginx
nginx如何代理ssl
nginx如何代理ssl
|
2月前
|
应用服务中间件 nginx C++
nginx的cgi模块
nginx的cgi模块
41 0
|
2月前
|
数据采集 网络安全 Python
Python使用urllib或者urllib2模块打开网页遇到ssl报错
Python使用urllib或者urllib2模块打开网页遇到ssl报错
32 0
|
4月前
|
缓存 应用服务中间件 nginx
安装nginx-http-flv-module模块
本文介绍如何为Nginx安装`nginx-http-flv-module`模块。此模块基于`nginx-rtmp-module`二次开发,不仅具备原模块的所有功能,还支持HTTP-FLV播放、GOP缓存、虚拟主机等功能。安装步骤包括:确认Nginx版本、下载相应版本的Nginx与模块源码、重新编译Nginx并加入新模块、验证模块安装成功。特别注意,此模块已包含`nginx-rtmp-module`功能,无需重复编译安装。
214 1
|
4月前
|
负载均衡 应用服务中间件 Linux
在Linux中,常用的 Nginx 模块有哪些,常来做什么?
在Linux中,常用的 Nginx 模块有哪些,常来做什么?
|
4月前
|
jenkins 应用服务中间件 持续交付
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
247 8