配置Nginx网站https访问、http共存访问-阿里云开发者社区

配置Nginx网站https访问、http共存访问

2017-11-27 2226

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

最近公司一客户要求服务器与客户端之间传输内容是加密的，通过https协议访问，于是使用OpenSSL生成证书，默认情况下ssl模块并未被安装，如果要使用该模块则需要在编译nginx时指定–with-http_ssl_module参数，需要确保机器上安装了openssl和openssl-devel。

确认以上两点后就可以生成证书了

x509证书一般会用到三类文，key，csr，crt。

Key：私用密钥openssl格，通常是rsa算法。

Csr：证书请求文件，用于申请证书。在制作csr文件的时，必须使用自己的私钥来签署申，还可以设定一个密钥。

crt：CA认证后的证书文，（windows下面的，其实是crt），签署人用自己的key给你签署的凭证。

1.创建服务器私钥（key文件）

进入你想创建证书和私钥的目录

 
        [root@localhost conf]
        # pwd 
       
        /app/nginx/conf 
       
        [root@localhost conf]
        # openssl genrsa -des3 -out server.key 1024 
       
        Generating RSA private key, 1024 bit long modulus 
       
        ............++++++ 
       
        ..........................++++++ 
       
        e is 65537 (0x10001) 
       
        Enter pass phrase 
        for 
        server.key: 
       
        Verifying - Enter pass phrase 
        for 
        server.key: 
       
        [root@localhost conf]
        #

运行时会提示输入至少四位的密码,此密码用于加密key文件(参数des3是指加密算法,当然也可以选用其他你认为安全的算法,openssl格式，1024位强度，有的证书是要2048。),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!

在加载SSL支持的Nginx并使用上述私钥时去除key文件口令的命令:openssl rsa -in server.key -out server.key

生成没有密码的key:openssl rsa -in server.key -out server.key

2.创建签名请求的证书（CSR文件）

需要依次输入国家，地区，组织，email。最重要的是有一个common name，可以写你的名字或者域名。如果为了https申请，这个必须和域名吻合，否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。

 
        [root@localhost conf]
        # openssl req -new -key server.key -out server.csr  
       
        Enter pass phrase 
        for 
        server.key: 
       
        You are about to be asked to enter information that will be incorporated 
       
        into your certificate request. 
       
        What you are about to enter is what is called a Distinguished Name or a DN. 
       
        There are quite a few fields but you can leave some blank 
       
        For some fields there will be a default value, 
       
        If you enter 
        '.'
        , the field will be left blank. 
       
        ----- 
       
        Country Name (2 letter code) [XX]:sh 
       
        State or Province Name (full name) []:shanghai 
       
        Locality Name (eg, city) [Default City]:shanghai 
       
        Organization Name (eg, company) [Default Company Ltd]:51cto 
       
        Organizational Unit Name (eg, section) []:51cto 
       
        Common Name (eg, your name or your server's 
        hostname
        ) []:pvbutler.blog.51cto.com 
       
        Email Address []:justin@blog.51cto.com 
       
        Please enter the following 
        'extra' 
        attributes 
       
        to be sent with your certificate request 
       
        A challenge password []:csdp 
       
        An optional company name []:51cto 
       
        [root@localhost conf]
        #

在加载SSL支持的Nginx并使用上述私钥时除去必须的口令：

 
        [root@localhost conf]
        # cp server.key server.key.org 
       
        [root@localhost conf]
        # openssl rsa -in server.key.org -out server.key 
       
        Enter pass phrase 
        for 
        server.key.org: 
       
        writing RSA key 
       
        [root@localhost conf]
        #

标记证书使用上述私钥和CSR：

 
        [root@localhost conf]
        # openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 
       
        Signature ok 
       
        subject=
        /C
        =sh
        /ST
        =shanghai
        /L
        =shanghai
        /O
        =51cto
        /OU
        =51cto
        /CN
        =pvbutler.blog.51cto.com
        /emailAddress
        =justin@blog.51cto.com 
       
        Getting Private key 
       
        [root@localhost conf]
        #

这样就生成了私用密钥：server.key和自己认证的SSL证书：server.crt。

也可以使用下面命令：

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt

-CA选项指明用于被签名的csr证书，-CAkey选项指明用于签名的密钥，-CAserial指明序列号文件，而-CAcreateserial指明文件不存在时自动生成。

证书合并：cat server.key server.crt > server.pema

修改Nginx配置文件，让其包含新标记的证书和私钥：

 
        [root@localhost conf]
        # cp nginx.conf{,20160919bak} 
       
        [root@localhost conf]
        # vim nginx.conf 
       
        server { 
       
        #指定虚拟主机的服务端口 
       
        listen 443; 
       
        #指定IP地址或者域名 
       
        server_name pvbutler.blog.51cto.com; 
       
        ssl on; 
       
        ssl_certificate 
        /app/nginx/conf/server
        .crt; 
       
        ssl_certificate_key 
        /app/nginx/conf/server
        .key; 
       
        #设定本虚拟主机的访问日志 
       
        access_log 
        /app/nginx/logs/access_fund
        .log fund; 
       
        } 
       
        [root@localhost conf]
        # service nginx restart

这样就可以通过https://10.10.2.83/方式访问：

如果出现“[emerg] 10464#0: unknown directive "ssl" in /app/nginx/conf/nginx.conf:74”则说明没有将ssl模块编译进nginx，在configure的时候加上“--with-http_ssl_module”即可^^

这样生成的证书，访问都会提示安全认证，如何让浏览器信任自己颁发的证书呢？

控制面板 -> Internet选项 -> 内容 -> 发行者 -> 受信任的根证书颁发机构 -> 导入 -》选择server.crt

如果要不出现这样的提示，需要到第三方ssl证书提供商处购买。具体申请过程

可以询问证书商。

实现https和http共存访问

上面的配置后只能通过https访问，下面的配置实现https和http共存。

 
        [root@localhost conf]
        # vim nginx.conf 
       
        server { 
       
        #指定虚拟主机的服务端口 
       
        listen 80; 
       
        listen 443 ssl; 
       
        #指定IP地址或者域名 
       
        server_name pvbutler.blog.51cto.com; 
       
        #ssl on;   #这行一定要注释掉 
       
        ssl_certificate 
        /app/nginx/conf/server
        .crt; 
       
        ssl_certificate_key 
        /app/nginx/conf/server
        .key; 
       
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; 
       
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
       
        ssl_session_cache    shared:SSL:1m; 
       
        ssl_session_timeout  5m; 
       
        ssl_prefer_server_ciphers  on; 
       
        #设定本虚拟主机的访问日志 
       
        access_log 
        /app/nginx/logs/access_fund
        .log fund; 
       
        [root@localhost conf]
        # service nginx restart

用http和https访问同一个链接，应该都可以访问了。

SSL／TLS 系列中有五种协议：SSL v2，SSL v3，TLS v1.0，TLS v1.1和TLS v1.2：SSL v2 是不安全的，不能使用。此协议版本非常糟糕，即使它们位于完全不同的服务器（DROWN 攻击）上也可以用来攻击具有相同名称的RSA 密钥和站点。当与 HTTP（POODLE 攻击）一起使用时，SSL v3是不安全的，当与其他协议一起使用时，SSL v3 是弱的。它也是过时的，不应该被使用。

TLS v1.0 也是不应该使用的传统协议，但在实践中通常仍然是必需的。其主要弱点（BEAST）在现代浏览器中得到缓解，但其他问题仍然存在。

TLS v1.1 和 v1.2 都没有已知的安全问题，只有 v1.2 提供了现代的加密算法。

TLS v1.2 应该是您的主要协议，因为它是唯一提供现代认证加密（也称为 AEAD）的版本。如果您今天不支持 TLS v1.2，则缺乏安全性。

为了支持较旧的客户端，您可能需要继续支持 TLS v1.0 和TLS v1.1。但是，您应该计划在不久的将来退出 TLS v1.0。例如，PCI DSS 标准将要求所有接受信用卡付款的网站在 2018 年 6 月之前移除对 TLS v1.0 的支持。目前正在开展设计 TLS v1.3 的工作，其目的是消除所有过时和不安全的功能，并进行改进，以保持我们的通信在未来几十年内的安全。

本文转自 justin_peng 51CTO博客，原文链接：http://blog.51cto.com/ityunwei2017/1852142，如需转载请自行联系原作者

配置Nginx网站https访问、http共存访问

热门文章

最新文章

相关课程

相关电子书

相关实验场景

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

训练营

直播

乘风者计划

下载

镜像站

技术资料

配置Nginx网站https访问、http共存访问

热门文章

最新文章

相关课程

相关电子书

相关实验场景