2. 程式人生 > >nginx使用ssl模組配置https

nginx使用ssl模組配置https

阿新 發佈:2018-12-25

前言

由於專案上用到小程式,而現在的小程式非常的嚴格,在開發的時候對接外部介面需要先新增稽核,還得是https協議,而不是htpp協議,對於很多JAVA Web開發人員來說,服務端大多使用時下流行的tomcat(預設是http),並且在虛擬伺服器使用nginx作請求轉發操作。因此,為了實現https訪問伺服器,我們可以配置nginx監聽htpps的預設埠,再進行轉發操作。

http與https

概念

  • HTTP:是網際網路上應用最為廣泛的一種網路協議,是一個客戶端和伺服器端請求和應答的標準(TCP),用於從WWW伺服器傳輸超文字到本地瀏覽器的傳輸協議,它可以使瀏覽器更加高效,使網路傳輸減少。

  • HTTPS:是以安全為目標的HTTP通道,簡單講是HTTP的安全版,即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。

      HTTPS協議的主要作用可以分為兩種:一種是建立一個資訊保安通道,來保證資料傳輸的安全;另一種就是確認網站的真實性。

區別

  1. https協議需要到ca申請證書,一般免費證書較少,因而需要一定費用。
  2. http是超文字傳輸協議,資訊是明文傳輸,https則是具有安全性的ssl加密傳輸協議。
  3. http和https使用的是完全不同的連線方式,用的埠也不一樣,前者是80,後者是443。
  4. http的連線很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,比http協議的明文傳輸安全。
  5. http在網路速度上略快於https,https的快取不是很好,開銷比http多
  6. https在通訊前會有一個證書認證的過程,類似與websocket的第一次握手。

感覺除了安全之外,沒有啥子優勢(安全本身就是一個很大優勢)

生成ssl證書

# 1、首先,進入你想建立證書和私鑰的目錄,例如:
cd /etc/nginx/
# 2、建立伺服器私鑰,命令會讓你輸入一個口令:
openssl genrsa -des3 -out server.key 1024
# 3、建立簽名請求的證書(CSR):
openssl req -new -key server.key -out server.csr
 

# 4、在載入SSL支援的Nginx並使用上述私鑰時除去必須的口令:
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
# 5、最後標記證書使用上述私鑰和CSR:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

nginx編譯ssl模組(可選)

nginx配置ssl

#
# HTTPS server configuration
#
server {
    listen       443;
    server_name  本機的IP地址;

    ssl                  on;
    ssl_certificate      /etc/nginx/server.crt;
    ssl_certificate_key  /etc/nginx/server.key;

    ssl_session_timeout  5m;

#    ssl_protocols  SSLv2 SSLv3 TLSv1;
#    ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
#    ssl_prefer_server_ciphers   on;

    location / {
        #root   html;
        #index  testssl.html index.html index.htm;
     proxy_redirect off;
     proxy_set_header Host $host;
     proxy_set_header X-Real-IP $remote_addr;
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
     proxy_pass http://IP地址/ssl/;
    }
}

http轉https

if ($server_port = 80) {
    return 301 https://$server_name$request_uri;
}
if ($scheme = http) {
    return 301 https://$server_name$request_uri;
}
error_page 497 https://$server_name$request_uri;
#或者更直接點

server {  
    listen       80; 
    server_name www.xxx.com;  
    # 跳轉到HTTPS  
    return  301 https://$server_name$request_uri;  
}  

#下面是對請求的路徑進行定向
rewrite ^/test(.*)$ http://www.tiyee.net/home  permanent;

rewrite指令的最後一項引數為flag標記,支援flag標記有:
1.last 相當於apache裡面的[L]標記,表示rewrite。
2.break本條規則匹配完成後,終止匹配,不再匹配後面的規則。
3.redirect 返回302臨時重定向,瀏覽器地址會顯示跳轉後的URL地址。
4.permanent 返回301永久重定向, 瀏覽器地址會顯示跳轉後的URL地址。

後記

  1. 使用301強制將https重定向到http在開發中用的非常多,但是我個人認為是不安全的,違背了https的規範。
  2. 推薦使用轉發操作到http

參考文章

相關推薦

Apache 使用ssl模組配置HTTPS

                Web伺服器在預設情況下使用HTTP,這是一個純文字的協議。正如其名稱所暗示的,純文字協議不會對傳輸中的資料進行任何形式的加密。而基於HTTP的Web伺服器是非常容易配置,它在安全方面有重大缺陷。任何”中間人”,通過精心防止的資料包嗅探器,是能夠看到任何經過的資料包內容。更進一

nginx使用ssl模組配置https

前言 由於專案上用到小程式,而現在的小程式非常的嚴格,在開發的時候對接外部介面需要先新增稽核,還得是https協議,而不是htpp協議,對於很多JAVA Web開發人員來說,服務端大多使用時下流行的tomcat(預設是http),並且在虛擬伺服器使用nginx

LINUX nginx使用ssl模組配置HTTPS支援

預設情況下ssl模組並未被安裝,如果要使用該模組則需要在編譯時指定–with-http_ssl_module引數,安裝模組依賴於OpenSSL庫和一些引用檔案,通常這些檔案並不在同一個軟體包中。通常這個檔名類似libssl-dev。 生成證書 可以通過以下步驟生成一個

Apache使用ssl模組配置HTTPS

在這篇文件中,我們將使用自簽名證書。假設CentOS已經安裝了Apache Web伺服器。我們需要使用OpenSSL生成自簽名證書。如果尚未安裝OpenSSL,它可以使用yum來安裝。 # yum install mod_ssl openssl 安裝完畢後,會自動生成 /e

Nginx使用ssl模組配置HTTPS支援

預設情況下ssl模組並未被安裝,如果要使用該模組則需要在編譯時指定–with-http_ssl_module引數。 1.安裝基礎支援包 yum -y install openssl openssl-devel 2.備份原nginx.conf檔案為nginx.conf.bak

linxu下部署nginx的SSL證書(HTTPS)依賴模組與使用nginx.conf配置https協議詳解

一:開始Nginx的SSL模組1.1 Nginx如果未開啟SSL模組,配置Https時提示錯誤1nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/n

IIS配置HTTPS

image 防止 訪問 簽名 nbsp iis配置 cnblogs http 類型 1,新建網站,選中類型為 https,然後更改SSL證書為你配置的SSL證書, 對於SSL證書的配置是這樣的 點開第二步,然後點擊 創建自簽名證書 確定以後點開網站看到有個SSL,

vue2.0配置 https://github.com/wike933/vuebook

random 新項目 靜態資源 name project 環境配置 定義 詳細 目錄 前言: 學習VUE幾個月,看了很多例子和資料,vue雖然中文文檔比較多,但是都是一些零散的教程,我這裏打算寫一本完整的VUE2.0的開發教程(因為時間有限,每天更新一小塊,希望大家支持)

eclipse下的tomcat配置https(最簡單得配置https

如果 希望 alias lib connector connect eclipse cnblogs itl 近期公司列出一大堆的東西,其中包括https,啥也不想說,你們是無法理解的苦逼的我的 關於https這些通道可以去百度Google其原理,不廢話,自動生成秘鑰,需要使

nginx證書制作以及配置https並設置訪問http自動跳轉https(反向代理轉發jboss)

app ast mime with cati permanent bsp location admin nginx證書制作以及配置https並設置訪問http自動跳轉https 默認情況下ssl模塊並未被安裝,如果要使用該模塊則需要在編譯時指定–with

nginx配置HTTPS

rc4 script ont 蘋果 pri off mbo 創建服務 local 使用ssl模塊配置同時支持http和https並存 一,生成證書 # 1、首先,進入你想創建證書和私鑰的目錄,例如: cd /etc/nginx/ # 2、創建服務器私鑰,命令會

Nginx配置https的wordpress站點,wp-content目錄下資源404解決方案

pem list log 解決方案 content wordpress timeout nginx span wordpress 下配置 ssl證書, server { listen 443; server_name demo

Apache配置https啟動不了的解決辦法

目錄 follow cgi https 私鑰 解決辦法 apach lis symlink 準備工作:有備案了的http域名,去阿裏雲或者騰訊雲購買SSL證書,有免費1年的; 第一步; 找到 #LoadModule ssl_module modules/mod_ssl.so

haproxy 配置https

ha今天測試配置haproxy代理https,一直報錯,後來發現,後端已經是https這裏則不需要特別指定了配置文件如下:global log 127.0.0.1 local2 chroot /var/lib/haproxy pidfile /var/

NGINX之——配置HTTPS加密反向代理訪問–自簽CA

left https rac lan -s tar 一個 eight fcm 轉載請註明出處:http://blog.csdn.net/l1028386804/article/details/46695495 出於公司內部訪問考慮,採用的CA是本機Openssl

通過新浪雲部署Node.js微信小程序商城(不用買域名、不用備案、不用配置https

個數 bre rem faq 開發 mem nbsp edi home 本文檔為微信小程序商城NideShop項目的安裝部署教程(GitHub),歡迎star 一、購買新浪雲SAE 為什麽選擇SAE?免費二級域名和支持https訪問,不用備案,可用做微信小程序服務器。 S

Nginx+Tomcat配置https

dir source blank location prefix targe tps suffix session Nginx + Tomcat 配置 HTTPS 1、總述 瀏覽器和 Nginx 之間走的 HTTPS 通訊,而 Nginx 到 Tomcat 通過 proxy

apache配置https

lin rec mas 重啟 cgi ## directory con allow 1. 修改Apache的配置文件httpd.conf LoadModule ssl_module modules/mod_ssl.so Include conf/extra/httpd-ss

Fiddler配置https

cer 註意 tro cnblogs 。。 span 4.6 creat class 問題描述:   fiddler加載認證不成功。。。 問題解決:   手工生成認證證書 00、配置HTTPS 01、勾選https 02、添加ssh認證 11、 找到

nginx 配置https(可支持thinkphp的pathinfo模式)

nginx https thinkphp 打開文件: /usr/local/nginx/conf/nginx.conf 把下面兩個類似文件放到/usr/local/nginx/conf/文件夾中 1_www.baidu.com_bundle.crt; 2_ server {