详解Nginx服务器中配置全站HTTPS安全连接的方法
HTTPS就等于HTTP加上TLS(SSL),HTTPS协议的目标主要有三个:
数据保密性。保证内容在传输过程中不会被第三方查看到。就像快递员传递包裹时都进行了封装,别人无法知道里面装了什么东西。
数据完整性。及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西,但他有可能中途掉包,数据完整性就是指如果被掉包,我们能轻松发现并拒收。
身份校验。保证数据到达用户期望的目的地。就像我们邮寄包裹时,虽然是一个封装好的未掉包的包裹,但必须确定这个包裹不会送错地方。
启用HTTPS之前需要有证书,而证书需要首先在自己服务器上创建CSR,对应的公钥和私钥。这里我全部都拿Nginx服务器举例,Apache也不会差太多,都是基于openssl的。因为我只有一个主机域名www.jb51.net,所以证书方便选择了COMODO的PositiveSSL,每年9刀。需要注意COMODO要求证书至少是2048位,见下面的命令。激活证书的时候需要注意common name那里要填写自己的域名地址,我因为并不使用jb51.net,所以这里写的就是www.jb51.net,需要注意这两个主机地址是不同的。其他的组织名公司名什么的如果没有就写NA,不要留空。下面简单说一下步骤
1、以root登录,升级服务器。这里是为了解决OpenSSL的一个大漏洞CVE-2014-0224,因为ChangeCipherSpec消息的问题可能导致中间人攻击,解密并修改被攻击的服务器和客户端之间的通信,从而获得加密的数据。
查看OpenSSL版本,确认至少在1.0.1h以上,
openssl version -a
如果没有,升级服务器,以Debian为例
apt-get update apt-get upgrade
2、创建CSR和私钥
openssl req -new -newkey rsa:2048 -nodes -keyout www.jb51.net.key -out www.jb51.net.csr
得到2个文件,私钥www.jb51.net.key,CSR文件www.jb51.net.csr,其中CSR里面的内容在激活证书的时候需要提交
3、购买证书,完成激活,下载证书文件
下载的证书文件通常是一个压缩包,有些是2个文件,有些是4个文件
如果是2个文件,是这样的:
- www_jb51_net.ca-bundle
- www_jb51_net.crt
如果是4个文件,通常都是这样的:
- www_jb51_net.crt
- COMODORSADomainValidationSecureServerCA.crt
- COMODORSAAddTrustCA.crt
- AddTrustExternalCARoot.crt
其中www_slyar_com.ca-bundle就是自动合并了其他3个文件的产物,一个道理
4、合并证书,顺序一定不能错
cat www_jb51_net.crt www_slyar_com.ca-bundle > www.jb51.net.crt
或者
cat www_slyar_com.crt www_slyar_com.ca-bundle > www.jb51.net.crt
最后产生的www.jb51.net.crt是4个文件的合并,此文件与之前产生的www.jb51.net.key一起组成了Nginx需要使用的证书
5、把www.jb51.net.crt和www.jb51.net.key复制到Nginx的conf目录下,比如/usr/local/nginx/conf/
cp www.jb51.net.crt www.jb51.net.key /usr/local/nginx/conf/
6、修改Nginx配置文件或者vhost/下的虚拟主机配置文件,启用https,配置加密方式等
#合并80和443配置文件也可以,一起配置,最后强制转移80到443就可以了 listen 80; listen 443; #指定证书文件 ssl_certificate www.jb51.net.crt; ssl_certificate_key www.jb51.net.key; #禁用不安全的SSLv1 2 3,只使用TLS ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; #RC4也是不安全的了,只能去掉 ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; #301转移 if ($server_port = 80) { return 301 https://$server_name$request_uri; }
7、测试Nginx配置文件并重新reload配置文件
Nginx -t service nginx reload
这样服务器的HTTPS就配置完了。
既然HTTPS非常安全,数字证书费用也不高,那为什么互联网公司不全部使用HTTPS呢?原因主要有两点:
HTTPS对速度的影响非常明显。每个HTTPS连接一般会增加1-3个RTT,加上加解密对性能的消耗,延时还有可能再增加几十毫秒。
HTTPS对CPU计算能力的消耗很严重,完全握手时,web server的处理能力会降低至HTTP的10%甚至以下。
HTTPS为什么会严重降低性能?主要是握手阶段时的大数运算。其中最消耗性能的又是密钥交换时的私钥解密阶段(函数是rsa_private_decryption)。这个阶段的性能消耗占整个SSL握手性能消耗的95%。
然而随着各大网站的相继跟进与硬件的摩尔定律下,为了安全而做这点性能牺牲还是值得的。
相关文章
详解nginx同一端口监听多个域名和同时监听http与https
这篇文章主要介绍了详解nginx同一端口监听多个域名和同时监听http与https的相关资料,需要的朋友可以参考下...2017-07-06- 这篇文章主要介绍了Nginx根据不同浏览器语言配置页面跳转的方法,包括一个简体繁体的基本判断方法及实际根据中英文跳转的例子,需要的朋友可以参考下...2016-05-22
- 周一今天给大家分享shell脚本多实例部署nginx的详细教程,文章通过实例代码脚本给大家详细介绍,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧...2021-10-26
- 这篇文章主要介绍了Nginx中配置过滤爬虫的User-Agent的简单方法,文中罗列了一些常用搜索引擎的爬虫名称以免造成不必要的过滤,需要的朋友可以参考下...2016-01-27
- 这篇文章主要介绍了nginx配置引发的403问题解决办法的相关资料,需要的朋友可以参考下...2017-07-06
- 这篇文章主要介绍了Linux环境下nginx搭建简易图片服务器,需要的朋友可以参考下...2016-01-27
- 这篇文章主要介绍了Nginx访问日志及错误日志参数说明,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下...2020-11-14
- 这篇文章主要介绍了使用nginx方式实现http转换为https的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧...2020-09-06
Nginx反向代理proxy_cache_path directive is not allowed错误解决方法
这篇文章主要介绍了Nginx反向代理proxy_cache_path directive is not allowed错误解决方法,需要的朋友可以参考下...2016-01-27nginx+apache+mysql+php+memcached+squid搭建集群web环境
当前,LAMP开发模式是WEB开发的首选,如何搭建一个高效、可靠、稳定的WEB服务器一直是个热门主题,本文就是这个主题的一次尝试。...2016-01-27- Nginx日志主要分为两种:访问日志和错误日志。访问日志主要记录客户端访问Nginx的每一个请求,格式可以自定义。下面这篇文章主要给大家介绍了Nginx自定义访问日志的配置方式,需要的朋友可以参考学习,下面来一起看看吧。...2017-07-06
- 这篇文章主要介绍了nginx使用IPV6的相关配置项介绍,首先查看编译参数是否编译了IPV6模块,然后介绍了监听IPV6的配置语法,需要的朋友可以参考下...2016-01-27
解决使用了nginx获取IP地址都是127.0.0.1 的问题
这篇文章主要介绍了解决使用了nginx获取IP地址都是127.0.0.1 的问题,获取i工具的完整代码文中给大家提到,具体实例代码跟随小编一起看看吧...2021-09-18- 本篇文章主要介绍了nginx修改上传文件大小限制的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧。 ...2017-01-22
- 这篇文章主要介绍了Debian7编译安装nginx简明教程,本文直接给出操作命令和步骤,需要的朋友可以参考下...2016-01-27
- 这篇文章主要介绍了隐藏Nginx或Apache以及PHP的版本号的方法,主要用来防止针对性的漏洞攻击,需要的朋友可以参考下...2016-01-05
- 下面我们以WIN2000服务器版本的来做例子,介绍一下怎样利用SSL加密HTTP通道来加强IIS安全的,需要的朋友可以参考下...2017-07-06
- 这篇文章主要介绍了Nginx DNS resolver配置实例,本文讲解在proxy_pass 和 upstream server 通信的时候需要手动指定 resolver,本文就给出了配置实例,需要的朋友可以参考下...2016-01-27
- 这篇文章主要介绍了关于Nginx中if语句的判断条件与多条件判断的相关资料,文中给出了详细的示例代码,对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。...2017-07-06
详解Nginx服务器中配置Sysguard模块预防高负载的方案
这篇文章主要介绍了详解Nginx服务器中配置Sysguard模块预防高负载的方案,该模块由阿里巴巴的团队开发,能够设置负载阀值,比较强大,需要的朋友可以参考下...2016-02-02