nginx配置https协议

admin

ngin配置https协议
: t& Z: S; Y6 F2 C; C1.https简介
HTTPS其实是有两部分组成：HTTP + SSL / TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据
) e" h6 O; j. }2.https协议原理
" n! s, G, q& I% J/ C( H& Y; J& i- W首先，客户端与服务器建立连接，各自生成私钥和公钥，是不同的。服务器返给客户端一个公钥，然后客户端拿着这个公钥把要搜索的东西加密，称之为密文，并连并自己的公钥一起返回给服务器，服务器拿着自己的私钥解密密文，然后把响应到的数据用客户端的公钥加密，返回给客户端，客户端拿着自己的私钥解密密文，把数据呈现出来
# `2 d5 h9 |' I( D" }1 X# Z
TLS或传输层安全( transport layer security)，它的前身是SSL(安全套接字层secure sockets layer)，是Web协议用来包裹在一个受保护，加密封装正常通道。
采用这种技术，服务器和客户端之间可以安全地进行交互，而不用担心消息将被拦截和读取。证书系统帮助用户在核实它们与连接站点的身份。
5 A0 U. f, w; z
$ p, b- @- v# [$ d
5 }- |7 i8 C# C5 a9 e  [2 aopenssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /usr/local/nginx/conf/ssl/nginx.key -out /usr/local/nginx/conf/ssl/nginx.crt

, K2 f; \; l4 c$ s( l! x' ^( Y
  s. T, s+ O6 E; U0 z3 eGenerating a 2048 bit RSA private key
...................+++
........+++
: Z; ~. c) W# l: w5 ^writing new private key to '/usr/local/nginx/conf/ssl/nginx.key'
7 M" T; x/ a6 J+ i, O# K-----
You are about to be asked to enter information that will be incorporated
$ w, o" O" d& d$ ointo your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
$ q: |: u4 u) |, k2 l4 K-----

+ O3 B! r( K4 W/ s8 M1 o. E0 rCountry Name (2 letter code) [XX]:BJ
State or Province Name (full name) []:Beijing
* n1 T% _- x  b& C! e6 H% j" N+ |5 gLocality Name (eg, city) [Default City]:Beijing
" z& X3 r; Q0 A" U# _" t! ?1 _Organization Name (eg, company) [Default Company Ltd]:Beijing
8 P& g! M; D; }; BOrganizational Unit Name (eg, section) []:
1 B# k, ?6 ^8 N) s$ HCommon Name (eg, your name or your server's hostname) []:  
4 y1 r% q) o5 v  WEmail Address []:
1 C2 r( r& }; L! ^
, h, B9 a; f% S4 o# v
9 \; X2 B: K" S" n6 b: t3 x, L步骤2： Configure Nginx to Use SSL

首先配置HTTP请求重定向

首先配置HTTP请求重定向

server {  

$ C: D" U4 ~$ H, o( L8 s2 R; l' r           listen       80;      
- O& s1 e3 D* m, F( e6 n' m% c
               server_name  www.yourdomain.com;   

              rewrite ^ https://$http_host$request_uri? permanent;    # force redirect http to https    #return 301 https://$http_host$request_uri;

- O& r4 f9 _9 w; D   }

* I' i: O: n: a# l  \/ a0 Z8 m# j$ l! fserver {        
8 [9 |( ]! L) a5 x$ {! j; b- v7 u                 listen 443 ssl;      
' M2 e& B; I1 y) ^* z$ S. s* t                  ssl_certificate /etc/nginx/ssl/nginx.crt;
8 A; W( ?* H0 n/ E6 W' \6 z+ ~
        ssl_certificate_key /etc/nginx/ssl/nginx.key;
, t2 I  f: I5 S$ E1 T/ x% r0 k          keepalive_timeout   70;

9 E9 _5 t% r! B' L. o7 A3 P        server_name www.yourdomain.com;    #禁止在header中出现服务器版本，防止黑客利用版本漏洞攻击   

server_tokens off;    #如果是全站 HTTPS 并且不考虑 HTTP 的话，可以加入 HSTS 告诉你的浏览器本网站全站加密，并且强制用 HTTPS 访问    #add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";        # ......   
6 F. P% r3 m: R+ X' ~
    fastcgi_param   HTTPS               on;

        fastcgi_param   HTTP_SCHEME         https;

/ H: v2 R+ K" P1 ^7 }( [    access_log      /usr/local/nginx/logs/wiki.xby1993.net.access.log;   
) x) d+ b7 y1 X2 I
     error_log      /usr/local/nginx/logs/wiki.xby1993.net.error.log;   
: b$ @1 G+ m% _; Y( [! a" h' H
3 e+ ]% U4 g3 D* R$ q) Y  r, f9 S" }}

如果想同时启用HTTP和HTTPS

server {   
              listen              80;
4 p7 t' x' _0 K# C! H$ J0 }- Y5 |
             listen              443 ssl;   

$ }7 l) y: K# v) q% e7 W/ r" w/ O           server_name         www.example.com;  
! y9 Z3 c5 b9 E7 n
         ssl_certificate     www.example.com.crt;   
9 @6 b0 n4 ?" L8 N# q          ssl_certificate_key www.example.com.key;
; o4 B$ a. E2 `1 \5 K" b# _* u3 [5 e5 N
# G, P2 h5 l& r+ r8 X6 b    ...
               }
! _% ^6 R, g- G

admin

创建了有效期100年，加密强度为RSA2048的SSL密钥key和X509证书文件。
9 L3 x: N' Q- \) L
' m9 }6 C# Y8 n7 d+ j" P参数说明:
$ y5 H+ p: h. m
4 z$ D5 h" H& _req: 配置参数-x509指定使用 X.509证书签名请求管理(certificate signing request (CSR))."X.509" 是一个公钥代表that SSL and TLS adheres to for its key and certificate management.
-nodes: 告诉OpenSSL生产证书时忽略密码环节.(因为我们需要Nginx自动读取这个文件，而不是以用户交互的形式)。
, [' _7 j! W6 [' K0 i-days 36500: 证书有效期，100年
-newkey rsa:2048: 同时产生一个新证书和一个新的SSL key(加密强度为RSA 2048)
-keyout:SSL输出文件名
-out:证书生成文件名
它会问一些问题。需要注意的是在common name中填入网站域名，如wiki.xby1993.net即可生成该站点的证书，同时也可以使用泛域名如*.xby1993.net来生成所有二级域名可用的网站证书。
整个问题应该如下所示:
0 T& f( [# z( S" u+ U
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:New York
Locality Name (eg, city) []:New York City
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Bouncy Castles, Inc.
Organizational Unit Name (eg, section) []:Ministry of Water Slides
6 U# F5 b7 G$ }$ u, ECommon Name (e.g. server FQDN or YOUR name) []:your_domain.com
Email Address []:admin@your_domain.com

admin

server{
% W, G0 A$ M5 n4 j3 d, o0 R8 o9 s#比起默认的80 使用了443 默认 是ssl方式  多出default之后的ssl
; S$ F% o3 K! A! j" }2 }        listen 443 default ssl;
. `9 ^% f# {' ~. L#default 可省略
1 o$ E5 A5 {! A4 ~1 l#开启  如果把ssl on；这行去掉，ssl写在443端口后面。这样http和https的链接都可以用
* ~9 v9 [3 m  V, `* b# D! j; j* T        ssl on;
4 h. f$ S  _( }6 t#证书(公钥.发送到客户端的)
        ssl_certificate ssl/server.crt;
6 i5 h: h$ [! `8 J+ c6 X0 v' X" g$ b#私钥,
        ssl_certificate_key ssl/server.key;
; S5 [5 r5 R: j2 ^7 w#下面是绑定域名
# j( k$ Q' J! J% n) _) {) d7 T        server_name www.daj.com;
        location / {
2 v, B% {, R7 U: ~% J7 o. a3 k! {3 ?#禁止跳转
7 j& m/ i  r: b0 w# x1 b3 W* v        proxy_redirect off;
4 f: K9 v$ E5 W3 A: }. T#代理淘宝
9 P0 ?% A' k9 w2 q- yproxy_pass https://www.tao.com/;  
        }        
9 ~. g( ]; |/ f+ J7 B" f+ w5 Y}

admin

虚拟机实现https网络设置
% f! L- O+ Z+ h现在很多网站使用的都是https协议，想在自己的电脑上实现下，
1 c2 T" l( [0 [7 _, P; C
& t; p/ z% D$ z0 b由于自己的电脑是win10，我总是觉得在windows上布置环境不如在linux上稳定，所以在电脑上安装了虚拟机，cento系统 。

上周末在虚拟机上安装了lnmp环境和laravel及后台、oauth，辛辛苦苦的记下了安装步骤，没想到昨天打开电脑，要找笔记的时候，莫名奇妙的没有了，丢失的还有我保存的虚拟电脑（郁闷一分钟……）

- o. c7 V2 G9 s8 e! P怎么就莫名其妙的消失了呢，我怀疑是win10系统自动重启闹的，遂果断关掉自动重启功能（叉会儿腰）
; \1 \: U0 C- U
! V+ L$ K* f5 b7 x算了，不吐槽了，直奔主题

我在虚拟机上布置的lnmp环境，想要让网站可以用https访问，首先要申请证书，只是想搭个环境满足自己的好奇心，没必要申请付费的ssl证书，那就申请免费的吧

$ E! J. \+ y! I  x6 W4 |) {' S/ _生成私钥和证书

1.生成服务器的私钥（放在nginx的配置目录下）

( x5 V+ J; v6 L+ P  X                openssl genrsa -des3 -out server.key 1024  （采用3DES加密算法生成1024位长度的私钥放在server.key文件中）
* e. C1 m- r7 P9 y/ m
& W2 @% A: _! J: S3 P1 [, o! u2 }2.创建服务器证书的申请文件
% b5 d$ W1 m& w3 B
: O# h3 U8 C5 r0 R. kopenssl req -new -key server.key -out server.csr
. l" R+ ~# O: @+ g( P: y# u1 x& r
3.生成服务器的证书

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
# s* r6 I* p1 J/ @+ ^
# a) u2 t9 V/ u& i: [/ Y" f证书已经生成好了，接下来就可以部署证书了

  q' y7 V! J" ?) S1 J; e部署证书

在nginx的配置文件中增加以下配置

9 }8 s1 c! \" ]/ a4 H4 b3 lserver {
    listen       443 default ssl;
    ssl on;
7 ]+ d5 O7 o1 O' ]    ssl_certificate /etc/nginx/conf.d/server.crt;
    ssl_certificate_key /etc/nginx/conf.d/server.key;
! N* u8 Q9 W3 ~6 w