网站SSL安装配置-阿里云开发者社区

开发者社区> 科技小能手> 正文

网站SSL安装配置

简介:
+关注继续查看







背景介绍:

         HTTPS,全称:Hyper Text Transfer Protocol over Secure Socket Layer,是通过SSL安全机制传输,保证网站数据不被窃听、冒充、篡改等安全风险,保证网站传输安全可靠,下面是通过nginx配置ssl模块记录。

 

环境信息:

 nginx ssl--tomcat1

                      tomcat2

                      tomcat3

 

操作系统: centos  6.8

nginx 1.12.0

tomcat tomcat8

 

        之前的流量图:普通用户,从公网访问公司网站,会经过防火墙进入nginx agent反向代理,反向代理根据用户的域名,分配到对应的web服务器。

 

 

        SSL流量:使用证书访问网站,当用户的流量到达nginx agent反向代理后,nginx开启ssl加密,然后转向到对应的web服务器,web服务器程序认证完毕后返回给用户对应的http连接。

        流量配置图如下:

 

 wKiom1mi0KHRE0YVAABXt1tH1OI326.png-wh_50

 


 

 

 开启SSL证书准备

 

1.需要准备nginx已经开启了ssl模块

 

             检查命令如下,发现有此模块,如果没有,需要重新编译 --with-ssl模块安装

 

[root@kmsdT-MQ ~]#  nginx -V | grep ssl

nginx version:  nginx/1.12.0

built by gcc 4.8.5  20150623 (Red Hat 4.8.5-4) (GCC)

built with OpenSSL  1.0.1e-fips 11 Feb 2013

TLS SNI support  enabled

configure  arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx  --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf  --error-log-path=/var/log/nginx/error.log  --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid  --lock-path=/var/run/nginx.lock  --http-client-body-temp-path=/var/cache/nginx/client_temp  --http-proxy-temp-path=/var/cache/nginx/proxy_temp  --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp  --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp  --user=nginx --group=nginx --with-compat --with-file-aio --with-threads  --with-http_addition_module --with-http_auth_request_module  --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module  --with-http_mp4_module --with-http_random_index_module  --with-http_realip_module --with-http_secure_link_module  --with-http_slice_module --with-http_ssl_module  --with-http_stub_status_module --with-http_sub_module --with-http_v2_module  --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module  --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2  -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong  --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC'  --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'

[root@kmsdT-MQ ~]#

 

 

2.准备好证书文件

          通过key证书文件,向第三方机构申请认证,申请证书,证书文件命名如下:

www.vbeard.cc.cer    #公钥

www.vbeard.cc.key   #私钥

 

 

 

 nginx配置

 

2.1 使用了nginx 1.12版本,配置文件按照模块分开配置了

 

       编辑vi /etc/nginx/nginx.conf , http里面增加下面配置

 upstream yc{

   server 192.168.120.101:87  max_fails=3 fail_timeout=30s;

    server 192.168.120.108:87 max_fails=3 fail_timeout=30s;

  server 192.168.120.105:87  max_fails=3 fail_timeout=30s;

}

 

 

 

2.2  编辑80默认虚拟主机配置文件,增加易创网和服务中心域名对应的虚拟主机

 

[root@kmsdT-MQ ~]#  cat /etc/nginx/conf.d/default.conf

server {

    listen       80;

    server_name  www.vbeard.cc;

 

    #charset koi8-r;

      #access_log  /var/log/nginx/log/host.access.log  main;

 

    rewrite  ^/Home/Login(.*) https://www.vbeard.cc/$1 permanent;     #nginx根据头判断是否走https

 

    location / {

           proxy_pass http://yc    #反向代理到后端易创网,易创网可能有多台,起到负载均衡的作用

            proxy_set_header Host $host;

            proxy_set_header X-Forwarded-For  $remote_addr;   

 

 

    }

 

    error_page   500 502 503 504  /50x.html;

    location = /50x.html {

        root    /usr/share/nginx/html;

    }

}

 

2.3 编辑ssl.conf配置文件,443虚拟主机配置

        如下,通过反向代理到后端IIS web对应的应用服务器,对应的应用服务器处理后,如果登录成功,则返回http给最终用户。

[root@kmsdT-MQ ~]#  cat /etc/nginx/conf.d/ssl.conf

server {

 

        listen       443;

        server_name   www.vbeard.cc ;

        ssl                  on;           #开启ssl证书加密

        ssl_certificate      www.vbeard.cc.cer;

         ssl_certificate_key  www.vbeard.cc.key;

            ssl_session_cache    shared:SSL:10m;

        ssl_session_timeout  5m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers  HIGH:!aNULL:!MD5;

        ssl_prefer_server_ciphers   on;

 

 

    location / {

          proxy_pass http://yc    #当接收到对应请求后,转向到后端服务器处理。

            proxy_set_header Host $host;

            proxy_set_header X-Forwarded-For  $remote_addr;   

 

    }

    error_page   500 502 503 504  /50x.html;

    location = /50x.html {

        root    /usr/share/nginx/html;

    }

}

}

 

 

 

2.4 nginx重新加载

        检查nginx配置没有问题,就执行下面方式重新加载配置文件。

 

[root@kmsdT-MQ ~]# nginx -t         #检查nginx配置语法

nginx: the  configuration file /etc/nginx/nginx.conf syntax is ok

nginx:  configuration file /etc/nginx/nginx.conf test is successful

[root@kmsdT-MQ ~]# nginx -s reload      #重新加载nginx配置

[root@kmsdT-MQ ~]#

 

 

 测试

        需要更改本地host后,测试登录是否加密了。

对应修改本地hosts方法:C:\Windows\System32\Drivers\etc\hosts

 

192.168.121.106 www.vbeard.cc

 

访问: https://www.vbeard.cc 检查是否可以正常打开。




本文转自 woshiwei201 51CTO博客,原文链接:http://blog.51cto.com/chenwei/1959782

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10012 0
postgresql安装配置
一,什么是postgresql PostgreSQL是以加州大学伯克利分校计算机系开发的 POSTGRES 版本 4.2 为基础的对象关系型数据库管理系统(ORDBMS),简称pgsql,它支持大部分 SQL 标准并且提供了许多其他现代特性:复杂查询 外键 触发器 视图 事务完整性 多版本并发控制 同样,PostgreSQL 可以用许多方法扩展,比如, 通过增加新的:数据类型 函数 操作符 聚集函数 索引方法 过程语言 并且,因为许可证的灵活,任何人都可以以任何目的免费使用,修改,和分发 PostgreSQL, 不管是私用,商用,还是学术研究使用。
824 0
在macOS上安装配置golang开发环境
本文主要介绍如何在macOS上安装配置golang开发环境。 一、安装 Homebrew 打开终端,输入以下命令安装 Homebrew /usr/bin/ruby -e "$(curl -fsSL https://raw.
1727 0
Spring配置c3p0数据源时出错报:java.lang.NoClassDefFoundError: com/mchange/v2/ser/Indirector
今天在使用Spring配置c3p0数据源时,使用的数据库是mysql,服务器是tomcat,运行时报了一个 java.lang.NoClassDefFoundError: com/mchange/v2/ser/Indirector 网络上找了很久都没有解决,最后发现是因为:         C3P0 少了个 jar 包,mchange-commons-java-0.
1102 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10880 0
宝塔面板如何配置网站ssl安全证书(支持https访问)
宝塔面板如何配置网站ssl安全证书(支持https访问)
1364 0
在windows平台下使用vscode当golang开发环境的配置
一、使用的平台与软件: 1、window 7 或者10,注意必须是64位,否则不能使用delve debug 2、go1.11.5.windows-amd64.msi 3、Git-2.20.1-64-bit.exe 4、VSCodeUserSetup-x64-1.31.1.exe 二、安装git,golang,vscode git软件全部使用缺省配置即可,安装完成后也不需要做太多配置; golang一般缺省安装在C:\go下 重点是需要设置GOPATH的环境变量。
2811 0
23706
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载