Nginx之5金钟罩 - (SSL)-阿里云开发者社区

开发者社区> 叶康铭> 正文

Nginx之5金钟罩 - (SSL)

简介: Nginx从入门到深入之SSL
+关注继续查看

SSL加密连接

在此分享前,思考几个问题。
Q1.为什么服务器要启用SSL加密数据连接?
Q2.如何使用SSL?
Q3.启用SSL的优势、劣势?

A1. HTTP协议在传输过程中,对于数据是不加密的,如果有恶意截取、伪造的情况是非常危险的。HTTPS就是基于HTTP协议,通过SSL或TLS提供加密处理数据、验证对方身份以及数据完整性保护。目前Chorme浏览器已经默认将HTTP的站点当成不安全的网站类型,全站SSL将会而且必须是发展的趋势。
A2. 流程很简单,申请SSL证书,配置应用服务器支持SSL,测试网站SSL有效性。
A3. SSL优势对服务器及客户端交互的数据进行加密,保护数据安全。但凸显出来对性能是有一定的下降的(因为传统的TCP连接经历了三次握手即可传输数据,但在HTTPS场景下,还需要对RSA签名校验,对ECC秘钥交换、计算、加密、解密等等)。但在不同场景,HTTP及HTTPS有不同的应用,例如在文件分发只读的情况,无需启用HTTPS,例如在购物车等场景,必须启用HTTPS。

功能配置

1.申请SSL证书,我们采用阿里云云盾的免费单域名证书。然后下载证书存放到ECS服务器上。
image

2.在Nginx上,ngx_http_ssl_module模块为HTTPS提供必要的支持,默认是不开启的,如果需要Nginx支持SSL,需要在编译时加入--with-http_ssl_module编译选项,该模块依赖OpenSSL库。编辑nginx.conf文件增加SSL相关的配置信息。

server {
    listen 443 ssl;
    server_name nginx.yekangming.com;
    ssl_certificate /data/certificate/public.crt;
    ssl_certificate_key /data/certificate/private.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!MD5;

    location / {
        root /data/webroot/nginx;
        index index.html;
    }
}
ssl on; #旧版本的写法

配置详解

ssl_certificate /data/certificate/public.crt; #证书
ssl_certificate_key /data/certificate/private.key; #私钥
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #协议
ssl_ciphers HIGH:!aNULL:!MD5; #加密套件

访问效果
在Chorme浏览器访问,可以在左上角见到有锁头代表已经加密了连接使用了SSL。
image

小技巧

用户在访问时习惯性只会输入域名,而我们浏览器则会自动补齐协议http://
一般情况下都会配置跳转,让用户的请求从HTTP从定向到HTTPS。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用NAT网关轻松为单台云服务器设置多个公网IP
在应用中,有时会遇到用户询问如何使单台云服务器具备多个公网IP的问题。 具体如何操作呢,有了NAT网关这个也不是难题。
22567 0
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
6416 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7629 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5001 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
2041 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16314 0
+关注
叶康铭
深耕云原生技术布道,熟悉DevOps、敏捷开发、容器技术、微服务架构等,擅长架构设计及企业数字化转型,在跨境电商场景上有多年的工作经历,在设计高并发、高性能、高可用中架构有较深的经验积累。精益和工匠精神不断提高对于技术领域的研究和探索。
80
文章
1522
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载