資訊專欄INFORMATION COLUMN
摘要:操作流程第一步,生成文件和文件第二步,提交文件到機構第三步,拿到文件第四步,三個文件放到目錄下第五步,修改文件也可以不監聽端口看需要一般的形式就配置好了為了更安全,可以考慮使用迪菲赫爾曼密鑰交換然后在配置的后面加上下面的配
操作流程
第一步,生成csr文件和key文件
$ cd /etc/ssl/private $ openssl req -new -newkey rsa:2048 -sha256 -nodes -out maketea_loc.csr -keyout maketea_loc.key -subj "/C=CN/ST=Beijing/L=Beijing/O=maketea Inc./OU=Web Security/CN=*.maketea.loc"
第二步,提交csr文件到CA機構
第三步,拿到crt文件
第四步,maketea_loc.csr maketea_loc.key maketea_loc.crt 三個文件放到/etc/ssl/private目錄下
第五步,修改nginx文件
server {
listen 80;#也可以不監聽80端口 看需要
listen 443 ssl;
server_name www.maketea.loc;
ssl on;
ssl_certificate /etc/ssl/private/maketea_loc.crt;
ssl_certificate_key /etc/ssl/private/maketea_loc.key;
}
一般的SHA-1形式https就配置好了
為了更安全 ,可以考慮使用迪菲-赫爾曼密鑰交換
$ cd /etc/ssl/certs
$ openssl dhparam -out dhparam.pem 2048
然后在nginx ssl配置的后面加上下面的配置
ssl_prefer_server_ciphers on; ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"; keepalive_timeout 70; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;
同時,如果是全站 HTTPS 并且不考慮 HTTP 的話,可以加入 HSTS 告訴你的瀏覽器本網站全站加密,并且強制用 HTTPS 訪問
add_header Strict-Transport-Security max-age=63072000; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff;
同時也可以多帶帶開一個 Nginx 配置,把 HTTP 的訪問請求都用 301 跳轉到 HTTPS
server {
listen 80;
server_name www.maketea.loc;
return 301 https://www.maketea.loc$request_uri;
}
頒發證書的機構
目前一般市面上針對中小站長和企業的 SSL 證書頒發機構有:
StartSSL
Comodo / 子品牌 Positive SSL
GlobalSign / 子品牌 AlphaSSL
GeoTrust / 子品牌 RapidSSL
其中 Postivie SSL、AlphaSSL、RapidSSL 等都是子品牌,一般都是三級四級證書,所以你會需要增加 CA 證書鏈到你的 CRT 文件里。
以 Comodo Positive SSL 為例,需要串聯 CA 證書,假設你的域名是 example.com
那么,串聯的命令是
$ cat example_com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > example_com.signed.crt
在 Nginx 配置里使用 example_com.signed.crt 即可
級聯問題有些時候,由第三方機構簽發的證書在瀏覽器上是OK的,但是到了例如安卓端會不認這個證書,Nginx官方是這樣說的
Some browsers may complain about a certificate signed by a well-known certificate authority, while other browsers may accept the certificate without issues. This occurs because the issuing authority has signed the server certificate using an intermediate certificate that is not present in the certificate base of well-known trusted certificate authorities which is distributed with a particular browser. In this case the authority provides a bundle of chained certificates which should be concatenated to the signed server certificate. The server certificate must appear before the chained certificates in the combined file
就是說需要有個中間證書
一般類似godaddy這種機構會提供這個證書給你,你要做的就是把這個串放在crt文件的后面,做成一個新的crt,就可以正常使用了
$ cat nginx.crt bundle.crt > nginx.chain.crt
測試的時候自簽證書的方法$ openssl ca -in nginx.csr -out nginx.crt
參考文獻https://s.how/nginx-ssl/
http://www.cnblogs.com/chjbbs...
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/39412.html
摘要:由于上面我們已經新建了一個配置文件,這里就直接將反向代理的配置寫在里面通過配置,我們反向代理到了端口的服務。六最后本文中,我們學習了如何通過快速搭建環境,并對其配置證書和反向代理,讓網站能夠以協議來訪問。 歡迎關注個人微信公眾號: 小哈學Java, 每日推送 Java 領域干貨文章,關注即免費無套路附送 100G 海量學習、面試資源喲!!個人網站: https://www.except...
摘要:在這里我使用的是阿里云,里面提供一年免費證書什么是根據維基百科的解釋超文本傳輸安全協議縮寫,英語是超文本傳輸協議和的組合,用以提供加密通訊及對網絡服務器身份的鑒定。配置我使用的是阿里云,其他云也一樣。 在這里我使用的是阿里云ECS,里面提供一年免費SSL證書 1、什么是HTTPS 根據維基百科的解釋: 超文本傳輸安全協議(縮寫:HTTPS,英語:Hypertext Transfer P...
摘要:正好最近有一臺空閑的于是來搭建一個玩玩。因此我們可以申請免費的證書,這個證書不但免費,而且操作非常簡單,雖然每次只有天的有效期,但可以通過腳本配置定期更新。這個驗證服務以后更新證書還要用到,要一直保留。創建一個并通過賦予執行權限。 0x00 前言 ????????WordPress是世界上最受歡迎的CMS系統,它是基于php和MySQL技術棧的,并且還有很多插件,可擴展性非常強。正好最...
摘要:推薦使用阿里云服務器。推薦使用阿里云的,我的網站就是搭建在阿里云的上,穩定下一個教程分享一下,如何優化站點的打開速度。所需材料:??????? 1、域名1個。??????? 2、虛擬機或者云服務器1臺。??????? 3、ssl證書1個。? 前提準備:??????? 1、域名最好要備案,在國內使用比較方便。? ? ? ? ?2、推薦使用阿里云服務器。(阿里云哪個地域節點的服務器好、速度快,...
摘要:這邊以常用的為例。首先將在獲取的證書,上傳至服務器。修改的配置,并且重啟,重啟時需要輸入證書密碼。配置如下默認的是端口,默認的端口。 上一節介紹了HTPPS協議,以及獲取HTPP證書的方法。這一節將介紹如何部署HTPPS服務。這邊以常用的linux+nginx為例。1.首先將在startssl獲取的證書,上傳至服務器。2.修改nginx的配置,并且重啟nginx,重啟時需要輸入證書密碼...
閱讀 1882·2021-09-28 09:36
閱讀 2431·2021-09-08 09:35
閱讀 3071·2019-08-30 15:53
閱讀 1559·2019-08-30 14:08
閱讀 670·2019-08-29 18:40
閱讀 2847·2019-08-29 13:57
閱讀 2709·2019-08-29 13:55
閱讀 688·2019-08-26 13:45
