HTTPS简单介绍
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单来讲就是HTTP的安全版。即HTTP下增加SSL层,HTTPS的安全基础是SSL。因此加密的具体内容就须要SSL。
它是一个URI scheme(抽象标识符体系),句法类同http:体系,用于安全的http传输数据。https使用的默认port是443.
ssl证书
证书类型简单介绍
要设置安全server,使用公共钥创建一对公私钥对。大多数情况下。发送证书请求(包含自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA).CA验证证书请求及您的身份。然后将证书返回给您的安全server。
可是内网实现一个server端和client传输内容的加密,能够自己给自己颁发证书。仅仅须要忽略掉浏览器不信任的警报就可以!
由CA签署的证书为您的server提供两个重要的功能:
- 浏览器会自己主动识别证书而且在不提示用户的情况下同意创建一个安全连接
- 当一个CA生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。
- 多数支持ssl的webserver都有一个CA列表,它们的证书会被自己主动接受。当一个浏览器遇到一个其授权CA并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接
生成ssl证书
- openssl genrsa -des3 -out wangzhengyi.key 2048
- openssl req -new -key wangzhengyi.key -out wangzhengyi.csr
创建一个自己签署的CA证书
- openssl req -new -x509 -days 3650 -key wangzhengyi_nopass.key -out wangzhengyi.crt
搭建https虚拟主机
虚拟主机配置文件
- upstream sslfpm {
- server 127.0.0.1:9000 weight=10 max_fails=3 fail_timeout=20s;
- }
-
- server {
- listen 192.168.1.*:443;
- server_name 192.168.1.*;
-
- #为一个server开启ssl支持
- ssl on;
- #为虚拟主机指定pem格式的证书文件
- ssl_certificate /home/wangzhengyi/ssl/wangzhengyi.crt;
- #为虚拟主机指定私钥文件
- ssl_certificate_key /home/wangzhengyi/ssl/wangzhengyi_nopass.key;
- #client可以反复使用存储在缓存中的会话參数时间
- ssl_session_timeout 5m;
- #指定使用的ssl协议
- ssl_protocols SSLv3 TLSv1;
- #指定许可的password描写叙述
- ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
- #SSLv3和TLSv1协议的服务器password需求优先级高于clientpassword
- ssl_prefer_server_ciphers on;
-
- location / {
- root /home/wangzhengyi/ssl/;
- autoindex on;
- autoindex_exact_size off;
- autoindex_localtime on;
- }
- # redirect server error pages to the static page /50x.html
- #
- error_page 500 502 503 504 /50x.html;
- error_page 404 /404.html;
-
- location = /50x.html {
- root /usr/share/nginx/www;
- }
- location = /404.html {
- root /usr/share/nginx/www;
- }
-
- # proxy the PHP scripts to fpm
- location ~ \.php$ {
- access_log /var/log/nginx/ssl/ssl.access.log main;
- error_log /var/log/nginx/ssl/ssl.error.log;
- root /home/wangzhengyi/ssl/;
- fastcgi_param HTTPS on;
- include /etc/nginx/fastcgi_params;
- fastcgi_pass sslfpm;
- }
- }
HTTPSserver优化
方法
SSL操作须要消耗CPU资源。所以在多处理器的系统,须要启动多个工作进程,并且数量须要不少于可用CPU的个数。最消耗CPU资源的SSL操作是SSL握手。有两种方法能够将每一个client的握手操作数量降到最低:
- 保持client长连接。在一个SSL连接发送多个请求
- 在并发的连接或者兴许的连接中重用SSL会话參数,这样能够避免SSL握手操作。
会话缓存用于保存SSL会话,这些缓存在工作进程间共享,能够使用
ssl_session_cache指令进行配置。
1M缓存能够存放约4000个会话。默认的缓存超时时间是5m。能够使用ssl_session_timeout加大它。
ssl_session_cache指令
- 语法:ssl_session_cache off|none|builtin:size|shared:name:size
- 使用环境:main,server
- 缓存类型:
- off -- 硬关闭,nginx明白告诉client这个会话不可重用
- none -- 软关闭,nginx告诉client会话可以被重用,可是nginx实际上不会重用它们
- bultin -- openssl内置缓存,仅可用于一个工作进程.可能导致内存碎片
- shared -- 全部工作进程的共享缓存。(1)缓存大小用字节数指定(2)每一个缓存必须拥有自己的名称(3)同名的缓存可用于多个虚拟主机
优化演示样例
- #优化ssl服务
- ssl_session_cache shared:wzy:10m;
- #client可以反复使用存储在缓存中的会话參数时间
- ssl_session_timeout 10m;
參考链接
http://nginx.org/cn/docs/http/configuring_https_servers.html
