nginx配置https协议

admin

ngin配置https协议
1.https简介
" `7 u. I2 n, g( L: k6 h9 n7 l9 Y# ZHTTPS其实是有两部分组成：HTTP + SSL / TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据
% C+ M' M7 T4 ~2.https协议原理
首先，客户端与服务器建立连接，各自生成私钥和公钥，是不同的。服务器返给客户端一个公钥，然后客户端拿着这个公钥把要搜索的东西加密，称之为密文，并连并自己的公钥一起返回给服务器，服务器拿着自己的私钥解密密文，然后把响应到的数据用客户端的公钥加密，返回给客户端，客户端拿着自己的私钥解密密文，把数据呈现出来

TLS或传输层安全( transport layer security)，它的前身是SSL(安全套接字层secure sockets layer)，是Web协议用来包裹在一个受保护，加密封装正常通道。
采用这种技术，服务器和客户端之间可以安全地进行交互，而不用担心消息将被拦截和读取。证书系统帮助用户在核实它们与连接站点的身份。
1 v- C# _4 W% [8 z$ S
( O3 o1 q! n. I! E
4 f6 N; o2 |  k- M) {% {openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /usr/local/nginx/conf/ssl/nginx.key -out /usr/local/nginx/conf/ssl/nginx.crt
6 f) T/ Y& j& k

Generating a 2048 bit RSA private key
...................+++
5 u) y2 R+ ~4 m; y) T........+++
% T9 K3 J4 t) S3 owriting new private key to '/usr/local/nginx/conf/ssl/nginx.key'
-----
* B3 t0 `  k: |+ q3 SYou are about to be asked to enter information that will be incorporated
; r- N/ J1 u7 c) `, Kinto your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
1 W6 ~! B6 u* i% P& b4 x' d
4 V+ [& ?# [% h7 T# JCountry Name (2 letter code) [XX]:BJ
6 w1 B6 W8 [2 U& a# b: M& `State or Province Name (full name) []:Beijing
1 z* E: u( k; V; r# D' S( ^0 ^3 fLocality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Beijing
' D/ M; P8 {* x: O5 ^Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:  
Email Address []:
, u' ^* l- A; n0 z/ E- X
: a' Z  P4 X$ f, k: H
步骤2： Configure Nginx to Use SSL

首先配置HTTP请求重定向

首先配置HTTP请求重定向

server {  

5 V. t. K) F& I- `           listen       80;      
0 w. ~, P% w! T/ Y$ z& W5 z
               server_name  www.yourdomain.com;   
- A9 \" A  x+ N# p
6 g7 I) r$ ~" U9 I- a              rewrite ^ https://$http_host$request_uri? permanent;    # force redirect http to https    #return 301 https://$http_host$request_uri;
# M9 }3 f2 w# [/ d8 \- Y. W. o
& g" }& H* H$ {+ @; k5 E* P- M  L   }

" l  V$ l& d. G/ O& ~$ V, dserver {        
                 listen 443 ssl;      
                  ssl_certificate /etc/nginx/ssl/nginx.crt;
+ h: n6 [6 z( a) |
        ssl_certificate_key /etc/nginx/ssl/nginx.key;
# P* Q) b- [& |* n          keepalive_timeout   70;
+ Q" J; @7 Q. Z# p- s
2 h) m) x; U5 f* ?, {( W) \        server_name www.yourdomain.com;    #禁止在header中出现服务器版本，防止黑客利用版本漏洞攻击   
: x$ E* G' E% A1 [& u/ @. s
server_tokens off;    #如果是全站 HTTPS 并且不考虑 HTTP 的话，可以加入 HSTS 告诉你的浏览器本网站全站加密，并且强制用 HTTPS 访问    #add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";        # ......   
: e8 @! o$ x: w7 d# J$ B2 x( u7 g( ~* F( X
    fastcgi_param   HTTPS               on;

/ i! s- t- g0 z1 r; u: R* x        fastcgi_param   HTTP_SCHEME         https;
7 ~% T( A% N! r( i* \" i" S
    access_log      /usr/local/nginx/logs/wiki.xby1993.net.access.log;   

) L8 U/ I* t1 `) C     error_log      /usr/local/nginx/logs/wiki.xby1993.net.error.log;   

}

; h0 f6 ?* ]+ V' G, W5 v8 a

如果想同时启用HTTP和HTTPS

. ]# I) J  c2 a
/ B* g' @2 b4 G3 b' [server {   
/ U+ c  e: @2 B) t- e4 @              listen              80;
0 J$ L% P7 \. i
* ^8 P# h# k: g$ ]: W             listen              443 ssl;   
6 N& t6 o# s* U' R
           server_name         www.example.com;  

; V3 X8 j0 u( B; M& _7 g3 o0 w6 N         ssl_certificate     www.example.com.crt;   
5 {% J2 j7 Y& z2 i: ^  k          ssl_certificate_key www.example.com.key;

    ...
               }

admin

创建了有效期100年，加密强度为RSA2048的SSL密钥key和X509证书文件。

' S2 Q5 K' Y- ^4 e# o* t参数说明:
4 S2 |; {5 u( ~$ t
req: 配置参数-x509指定使用 X.509证书签名请求管理(certificate signing request (CSR))."X.509" 是一个公钥代表that SSL and TLS adheres to for its key and certificate management.
6 \% U) h7 X7 Q' Q- D0 c. {-nodes: 告诉OpenSSL生产证书时忽略密码环节.(因为我们需要Nginx自动读取这个文件，而不是以用户交互的形式)。
-days 36500: 证书有效期，100年
, S0 \" c. Q( J! e4 R-newkey rsa:2048: 同时产生一个新证书和一个新的SSL key(加密强度为RSA 2048)
-keyout:SSL输出文件名
- E9 A- k/ r; ]: w-out:证书生成文件名
1 Z1 e; |* \6 }$ _- i6 l3 Y0 I& f它会问一些问题。需要注意的是在common name中填入网站域名，如wiki.xby1993.net即可生成该站点的证书，同时也可以使用泛域名如*.xby1993.net来生成所有二级域名可用的网站证书。
0 w8 _- M+ K' ]  @( C  E整个问题应该如下所示:

Country Name (2 letter code) [AU]:US
: x, o+ J/ o5 E/ A9 \State or Province Name (full name) [Some-State]:New York
Locality Name (eg, city) []:New York City
, m% T/ L! [# \& KOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Bouncy Castles, Inc.
2 ]; _# e' l- n% |; A' g# qOrganizational Unit Name (eg, section) []:Ministry of Water Slides
Common Name (e.g. server FQDN or YOUR name) []:your_domain.com
. o6 P% [7 ^/ r+ i% lEmail Address []:admin@your_domain.com

admin

server{
8 b+ g% W% w( U( M; N7 O* c; k#比起默认的80 使用了443 默认 是ssl方式  多出default之后的ssl
        listen 443 default ssl;
#default 可省略
/ T! T. A- |8 ?; ]#开启  如果把ssl on；这行去掉，ssl写在443端口后面。这样http和https的链接都可以用
. B/ P4 h1 {$ ]/ F5 e% b        ssl on;
- ~( ^5 f/ A* |  d#证书(公钥.发送到客户端的)
        ssl_certificate ssl/server.crt;
#私钥,
7 d3 [6 l  Q% x7 F3 w$ B9 i- @/ O5 V        ssl_certificate_key ssl/server.key;
#下面是绑定域名
6 X6 _8 Z& z% g! i        server_name www.daj.com;
2 f8 l# Q7 b3 k' j0 ~        location / {
' t& g. N  [4 i2 g+ T0 P#禁止跳转
! u$ E6 M% m3 ?, c2 K        proxy_redirect off;
; x1 R0 R4 a' A& e0 n#代理淘宝
. @) A7 U  X- d3 ]$ v9 W4 ]4 o( ^proxy_pass https://www.tao.com/;  
7 o. r$ [6 p3 I& U        }        
}

admin

虚拟机实现https网络设置
1 `6 V* K& R9 k2 W" ~0 i现在很多网站使用的都是https协议，想在自己的电脑上实现下，

由于自己的电脑是win10，我总是觉得在windows上布置环境不如在linux上稳定，所以在电脑上安装了虚拟机，cento系统 。

上周末在虚拟机上安装了lnmp环境和laravel及后台、oauth，辛辛苦苦的记下了安装步骤，没想到昨天打开电脑，要找笔记的时候，莫名奇妙的没有了，丢失的还有我保存的虚拟电脑（郁闷一分钟……）

4 N9 c3 ^! r/ O" l1 R  s  o怎么就莫名其妙的消失了呢，我怀疑是win10系统自动重启闹的，遂果断关掉自动重启功能（叉会儿腰）
* t7 }8 a7 g& m  Z
$ Y7 P% `" U* `$ ]' N! A# a3 w算了，不吐槽了，直奔主题
( m4 O; X# s6 E1 R* U( F1 x
我在虚拟机上布置的lnmp环境，想要让网站可以用https访问，首先要申请证书，只是想搭个环境满足自己的好奇心，没必要申请付费的ssl证书，那就申请免费的吧
/ n& @- f/ E/ w, q# r1 U; L% s
5 W: K' i5 e( V- X生成私钥和证书
; H$ m6 N( n2 e8 P" _: U
1.生成服务器的私钥（放在nginx的配置目录下）
7 M" D! ?) Z, K5 _: k" L
9 l2 G2 t, z+ a" d8 O3 ~7 O                openssl genrsa -des3 -out server.key 1024  （采用3DES加密算法生成1024位长度的私钥放在server.key文件中）

2.创建服务器证书的申请文件

$ F' b: f& F" x3 j1 E4 ^! Wopenssl req -new -key server.key -out server.csr
7 T2 ^4 r4 n6 E; _  y, G2 [& F% P
3.生成服务器的证书

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
5 T9 p! [. q3 {+ d5 ?
* f; k- ]3 F$ q# z证书已经生成好了，接下来就可以部署证书了
: U( S) U7 _  e& G. g
. F8 ^% [9 v1 M. Q部署证书
6 M! C% a! C: t7 ?! I
在nginx的配置文件中增加以下配置

6 D; ?$ D1 U2 Nserver {
8 N2 Y  _! Q0 u6 q    listen       443 default ssl;
    ssl on;
, z+ }9 d) W8 E9 k+ [& U% W9 P) J1 i5 T    ssl_certificate /etc/nginx/conf.d/server.crt;
5 h7 ]! F' i( E) b. i/ A( O& j1 u    ssl_certificate_key /etc/nginx/conf.d/server.key;
4 l6 W) A% F+ |, A# B. C