nginx配置https协议

admin

ngin配置https协议
1.https简介
+ t% k# S" s- p  q, rHTTPS其实是有两部分组成：HTTP + SSL / TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据
2.https协议原理
首先，客户端与服务器建立连接，各自生成私钥和公钥，是不同的。服务器返给客户端一个公钥，然后客户端拿着这个公钥把要搜索的东西加密，称之为密文，并连并自己的公钥一起返回给服务器，服务器拿着自己的私钥解密密文，然后把响应到的数据用客户端的公钥加密，返回给客户端，客户端拿着自己的私钥解密密文，把数据呈现出来
; m* o  a- D+ d
TLS或传输层安全( transport layer security)，它的前身是SSL(安全套接字层secure sockets layer)，是Web协议用来包裹在一个受保护，加密封装正常通道。
4 |$ G# \% p1 F  E; D% M采用这种技术，服务器和客户端之间可以安全地进行交互，而不用担心消息将被拦截和读取。证书系统帮助用户在核实它们与连接站点的身份。
- j1 B: }! _7 k. y5 _

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /usr/local/nginx/conf/ssl/nginx.key -out /usr/local/nginx/conf/ssl/nginx.crt
3 u' X/ Y  j4 F

, P' t! \( N5 m2 V1 o+ X; PGenerating a 2048 bit RSA private key
...................+++
8 j& k) @2 c  |8 O8 ^- u........+++
/ J" A, d# v( j1 a. f. H  O8 iwriting new private key to '/usr/local/nginx/conf/ssl/nginx.key'
-----
+ B. W% M9 _- u# H; u) ~' wYou are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
, |) x( w) A- V4 I- c( f+ C& O" ^-----

Country Name (2 letter code) [XX]:BJ
State or Province Name (full name) []:Beijing
! A. U- D  h) p* u/ a" D( qLocality Name (eg, city) [Default City]:Beijing
$ s6 K, `1 N+ |9 ~( Q" FOrganization Name (eg, company) [Default Company Ltd]:Beijing
3 [- X  |- g$ g: ~& P, V0 lOrganizational Unit Name (eg, section) []:
4 C; A: Z6 {  c# ~" h/ |6 ~1 oCommon Name (eg, your name or your server's hostname) []:  
( R7 M- h! x8 k: ]7 \/ t  XEmail Address []:
: q) ~  y& O* N& F
* C" L- g/ _/ X- ]% B' E4 i
步骤2： Configure Nginx to Use SSL

首先配置HTTP请求重定向

首先配置HTTP请求重定向

server {  

           listen       80;      
$ K# ~5 L/ i# m2 B1 e: p
               server_name  www.yourdomain.com;   
- C4 K3 l( V+ t2 G8 b' K* A# B1 J
" h2 B# ]! \2 X! c* P& F              rewrite ^ https://$http_host$request_uri? permanent;    # force redirect http to https    #return 301 https://$http_host$request_uri;
3 @7 `4 w0 Q$ Z7 F) y9 N. O
# n" e0 G  ]# Q# }  E' j   }

server {        
4 m: T" c4 q: i( r( v# b                 listen 443 ssl;      
! w2 c: p/ l% v# y1 M                  ssl_certificate /etc/nginx/ssl/nginx.crt;
0 j. _  S0 w( x2 F! A
        ssl_certificate_key /etc/nginx/ssl/nginx.key;
* r" }8 R* A* g$ q: W0 @. m1 u          keepalive_timeout   70;
- d+ v" Q+ z9 _/ x" R7 g1 }/ s
$ D( z4 E' `$ }' @( K7 d        server_name www.yourdomain.com;    #禁止在header中出现服务器版本，防止黑客利用版本漏洞攻击   

server_tokens off;    #如果是全站 HTTPS 并且不考虑 HTTP 的话，可以加入 HSTS 告诉你的浏览器本网站全站加密，并且强制用 HTTPS 访问    #add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";        # ......   

    fastcgi_param   HTTPS               on;

2 X7 U) N: o+ X/ l+ b3 h        fastcgi_param   HTTP_SCHEME         https;
* R# {% w/ n/ h
    access_log      /usr/local/nginx/logs/wiki.xby1993.net.access.log;   

     error_log      /usr/local/nginx/logs/wiki.xby1993.net.error.log;   
  q+ C; B5 ?. C; f' O
, t0 ?2 J2 a2 z}
( f9 F* t& n( n
; `! u; b0 R, @! K1 X6 J; t4 a6 I

如果想同时启用HTTP和HTTPS

[backcolor=rgba(0, 0, 0, 0.74902)]
, T( c$ k2 m; ?6 c9 m, D. v
server {   
- |/ Q9 d8 ~1 b7 `9 R              listen              80;
* M9 r$ K) Y% D2 \0 z
             listen              443 ssl;   
0 R3 H' Z/ g% o0 Y2 N  [9 r
9 [0 b/ j$ q/ l2 [7 K0 G           server_name         www.example.com;  
) @5 U# e; x$ r: j' X
) T6 }! {( {( x) T7 y2 p$ m         ssl_certificate     www.example.com.crt;   
          ssl_certificate_key www.example.com.key;
# ^* K+ Q, v: R8 Y
. ?# Z" D0 G- O# n    ...
1 d7 k0 L( |# g7 {* V2 ?1 I               }

$ X. z2 N4 s9 ?/ m/ u9 Z

admin

创建了有效期100年，加密强度为RSA2048的SSL密钥key和X509证书文件。

参数说明:
- V# x* m. b; }2 ?9 S  t
8 I6 U' |& S+ ^; P, I8 F3 _, Mreq: 配置参数-x509指定使用 X.509证书签名请求管理(certificate signing request (CSR))."X.509" 是一个公钥代表that SSL and TLS adheres to for its key and certificate management.
. y4 j1 B" o9 ^0 ^-nodes: 告诉OpenSSL生产证书时忽略密码环节.(因为我们需要Nginx自动读取这个文件，而不是以用户交互的形式)。
-days 36500: 证书有效期，100年
5 k" H2 N: p0 v/ U- X: c-newkey rsa:2048: 同时产生一个新证书和一个新的SSL key(加密强度为RSA 2048)
, r9 E9 K5 m& j1 E. Q, S-keyout:SSL输出文件名
-out:证书生成文件名
2 _. |3 C8 r# r. v它会问一些问题。需要注意的是在common name中填入网站域名，如wiki.xby1993.net即可生成该站点的证书，同时也可以使用泛域名如*.xby1993.net来生成所有二级域名可用的网站证书。
, x5 n4 x. j: G整个问题应该如下所示:

Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:New York
Locality Name (eg, city) []:New York City
3 M* E1 B" v7 ^Organization Name (eg, company) [Internet Widgits Pty Ltd]:Bouncy Castles, Inc.
, V: A5 X9 s( E6 N$ \2 ]% x/ r% Y3 s( ~Organizational Unit Name (eg, section) []:Ministry of Water Slides
3 c3 ~9 I9 w+ l8 bCommon Name (e.g. server FQDN or YOUR name) []:your_domain.com
- K5 s- M+ M1 @9 I4 H% PEmail Address []:admin@your_domain.com

admin

server{
#比起默认的80 使用了443 默认 是ssl方式  多出default之后的ssl
' s& o8 o% c8 @7 V# ?$ B, b, q        listen 443 default ssl;
8 i  F0 W0 \0 v: ~/ z" |+ h# M' J#default 可省略
#开启  如果把ssl on；这行去掉，ssl写在443端口后面。这样http和https的链接都可以用
        ssl on;
$ C- L+ y5 Z5 \+ {2 R- [#证书(公钥.发送到客户端的)
        ssl_certificate ssl/server.crt;
, e7 Q: z0 q$ Z  G8 C7 S3 o#私钥,
        ssl_certificate_key ssl/server.key;
#下面是绑定域名
. D! ~" _$ X4 L* I0 j* X7 e        server_name www.daj.com;
        location / {
7 |2 {) x3 a& {: ]+ i1 \#禁止跳转
; M! M9 ~) e! C: E( X# N% o        proxy_redirect off;
#代理淘宝
proxy_pass https://www.tao.com/;  
        }        
}

admin

虚拟机实现https网络设置
现在很多网站使用的都是https协议，想在自己的电脑上实现下，
6 _) O4 a7 S& H$ \; W8 I4 g1 @
7 f& H% x) {0 n6 R由于自己的电脑是win10，我总是觉得在windows上布置环境不如在linux上稳定，所以在电脑上安装了虚拟机，cento系统 。

上周末在虚拟机上安装了lnmp环境和laravel及后台、oauth，辛辛苦苦的记下了安装步骤，没想到昨天打开电脑，要找笔记的时候，莫名奇妙的没有了，丢失的还有我保存的虚拟电脑（郁闷一分钟……）
) y4 |; I6 w6 C) g7 k7 g
: J8 [' P. e+ ?4 \+ }4 X3 A; J5 _怎么就莫名其妙的消失了呢，我怀疑是win10系统自动重启闹的，遂果断关掉自动重启功能（叉会儿腰）
! S0 L* J! l5 y/ a+ s1 G) l, ?
算了，不吐槽了，直奔主题

我在虚拟机上布置的lnmp环境，想要让网站可以用https访问，首先要申请证书，只是想搭个环境满足自己的好奇心，没必要申请付费的ssl证书，那就申请免费的吧

1 }% j" g& c! Z% T# X% R# J生成私钥和证书

# U8 X# g$ f3 k8 w: o$ Z* j: K1.生成服务器的私钥（放在nginx的配置目录下）
- [( a% i0 }% Z; v; }
5 M! ]2 C$ o5 z                openssl genrsa -des3 -out server.key 1024  （采用3DES加密算法生成1024位长度的私钥放在server.key文件中）
$ X* Z" p$ d  |" H
* n( U0 I3 Z. h4 R8 f3 ]2.创建服务器证书的申请文件
: s, L- W) W* u+ a5 Z0 u
9 ?- R) |3 d% uopenssl req -new -key server.key -out server.csr

2 e6 O& b) b2 O6 S# H" N3.生成服务器的证书
6 s8 ?+ P4 ^: v. X# ^7 ]+ Z; g  L
5 R) o1 w; n7 _/ f4 Z8 i0 ^7 popenssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
2 z$ G0 V1 S, e- \3 ~/ H$ h
证书已经生成好了，接下来就可以部署证书了

. A& \8 A, E3 l/ R' b部署证书
: c4 |/ U3 s- {7 j! [8 _) Q
在nginx的配置文件中增加以下配置
/ |: I3 C) A* d" M+ L& V. v
server {
2 y9 r5 x+ N5 z6 B    listen       443 default ssl;
    ssl on;
    ssl_certificate /etc/nginx/conf.d/server.crt;
! e' l4 E; d0 ]1 P/ Q, q" L9 |9 q    ssl_certificate_key /etc/nginx/conf.d/server.key;