标签:ssl nginx配置ssl ssl介绍 https 生成SSL密钥对
ssl原理http默认端口为80,https默认端口为443;
http传输数据为明文,https传输数据是加密的;
http是HTTP协议运行在TCP之上。所有传输的内容都是明文,客户端和服务器端都无法验证对方的身份;
https是HTTP运行在SSL/TLS之上,SSL/TLS运行在TCP之上。所有传输的内容都经过加密,加密采用对称加密,但对称加密的密钥用服务器方的证书进行了非对称加密。此外客户端可以验证服务器端的身份,如果配置了客户端验证,服务器方也可以验证客户端的身份。
1.完成TCP三次同步握手
2.客户端验证服务器的证书,通过,进入步骤3
3.DH算法协商对称加密算法的秘钥、hash算法的秘钥
4.SSL安全加密碎到协商完成;
5.网页用加密方式传输,用协商的加密算法加密,保证数据完整和不被篡改;
正常的网站https使用的ssl证书是需要购买的,我们做实验就只需要自己生成一个就行了,但是无法在网络上流通;
yum install -y openssl设置秘钥防止目录
cd /usr/local/nginx/conf/注意这里要求设置密码
openssl genrsa -des3 -out tmp.key 2048注意:这里会提示要求输入老私钥文件tmp.key的密码;
openssl rsa -in tmp.key -out test.key
删除老的私钥
rm -rf tmp.key需要设置详细信息,可以直接回车默认
openssl req -new -key test.key -out test.csropenssl x509 -req -days 365 -in test.csr -signkey test.key -out test.crt
注意:test.crt才是公钥,test.csr只是请求文件,test.key是私钥;
vim /usr/local/nginx/conf/vhost/ssl.conf代码
server
{
listen 443; //设置端口为443
server_name shu.com; //设置网站域名为shu.com
index index.html index.php;
root /data/wwwroot/shu.com; //设置web的站点目录
ssl on; //开启ssl功能
ssl_certificate test.crt; //指定公钥名字
ssl_certificate_key test.key; //指定私钥名字
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx -s reload查看监听端口,有443则成功
netstat -lntp使用https://shu.com访问,成功;
在-t检测时,错误提示
nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/vhost/ssl.conf:7
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed
提示:nginx不支持ssl,这是因为我们编译安装nginx时是最简单的模式编译的,没有指定ssl;重新编译安装nginx
/usr/local/nginx/sbin/nginx -Vnginx version: nginx/1.12.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)
configure arguments: --prefix=/usr/local/nginxcd /usr/local/src/nginx-1.12.2/./configure --help |grep -i ssl
结果为:--with-http_ssl_module./configure --prefix=/usr/local/nginx --with-http_ssl_module
make && make install/etc/init.d/nginx restartssl(https)介绍、实验环境生成密钥对、nginx配置SSL、https
标签:ssl nginx配置ssl ssl介绍 https 生成SSL密钥对
原文地址:http://blog.51cto.com/shuzonglu/2087805
