码迷,mamicode.com
首页 > Web开发 > 详细

https

时间:2019-01-15 00:59:29      阅读:403      评论:0      收藏:0      [点我收藏+]

标签:netstat   证书   number   ras   bubuko   环境   最大   alt   url重写   

这几天 快被https 搞死了

下面我总结几点比较重要的

 

 

为了方便快速  请使用  控制面板  ,快速推荐宝塔   

从一些域名处申请域名证书, 

域名认证+服务器备案 +ssl授权

 

安装环境 分好几种情况,有的是利用 lnmp  轻便捷,

lamp稳定  windows server

window就非常的简单, 从获取的直接安装就好

 同时要检查服务器端的防火墙是否开放443端口,这里为了测试方便,直接清空了iptables规则表  iptables -F


 

 

LNMP环境配置SSL

 

第一步:在nginx的conf目录下新建一个cert文件夹 将域名证书的两个文件上传到该文件夹下

技术分享图片

 

第二步:修改nginx的虚拟主机配置如下

 

server {
listen 80; 
server_name www.domain.com;
rewrite ^(.*) https://$server_name$1 permanent; # 监听80端口 如果发现访问的是80端口 则进行url重写强制跳转到443端口
}

server { 
listen 443; 
server_name www.domain.com; 
ssl on; 
ssl_certificate cert/1_www.domain.com_bundle.crt; 
ssl_certificate_key cert/2_www.domain.com.key; # SSL证书私钥
ssl_session_timeout 5m; 
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; 
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
ssl_prefer_server_ciphers on; 

index index.php index.html index.htm; # 优先解析php文件

# 匹配后缀为php的文件
location ~ \.php?.*$ {  
        root           /usr/local/nginx/html; # 设置网站根目录
        fastcgi_pass   127.0.0.1:9000;  # 此处是配置过程中最大的坑 稍后说明
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME   $document_root/$fastcgi_script_name;  
        include        fastcgi_params;  
    }   
} 

 

 

先说说nginx解析php的原理:
nginx接收到客户端的请求后,会按配置文件中的规则进行匹配,发现后缀是.php文件,自己无法处理,就由fastcgi_pass 127.0.0.1:9000;这项配置交给fastcgi。要想让php处理这个文件,前提是php-fpm监听9000端口,才能接受nginx转发过来的请求并对其进行处理。fastcgi是一种进程管理器,管理cgi进程。市面上有多种实现了fastcgi功能的进程管理器,php-fpm就是其中的一种。再提一点,php-fpm作为一种fast-cgi进程管理服务,会监听端口,一般默认监听9000端口,并且是监听本机,也就是只接收来自本机的端口请求,所以我们通常输入命令 netstat -nlpt | grep php-fpm 会得到:
tcp 0 0 127.0.0.1:9000 0.0.0.0:* LISTEN 1057/php-fpm

也已通过这个命令查看9000端口是否被监听:lsof -i:9000

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
php-fpm 5807 root 8u IPv4 34723 0t0 TCP localhost:cslistener (LISTEN)
php-fpm 5808 www 0u IPv4 34723 0t0 TCP localhost:cslistener (LISTEN)
php-fpm 5809 www 0u IPv4 34723 0t0 TCP localhost:cslistener (LISTEN)
---------------------

注意:
1. 要在防火墙中打开443端口
2. fastcgi_pass为配置nginx与php-fpm的交互路径,一般有两种方式
sock方式:fastcgi_pass unix:/tmp/php-cgi.sock;
http方式:fastcgi_pass 127.0.0.1:9000;
任选其中一种即可,但必须和php-fpm的配置一致。
我安装的是LNMP一键安装包,默认nginx是http方式 而php-fpm是sock方式
因此可以修改php-fpm的配置文件如下
 技术分享图片

 

技术分享图片

 

3. 如果没有正确配置,访问php文件会出现502 bad gateway的错误

第三步:重启nginx和php-fpm,再访问网站一切正常

service nginx restart
service php-fpm restart

 

LAMP环境配置SSL

ubuntu下apache配置https的具体步骤

这个比较麻烦:一下原因

安装Apache

install apache2

APACHE,配置比较分散

  • 默认站点在 /var/www/
  • 配置文件在 /etc/apache2/
  • 日志在 /var/log/apache/
  • 启动脚本是 /usr/bin/apache2ctl 或者 /etc/init.d/apache2

安装openssl

Ubuntu默认已经安装了OPENSSL,如果没安装,

$sudo apt-get install openssl


HTTPS原理

技术分享图片

1, 客户端向服务器发送https请求;
2, 服务器上存储了一套数字证书,其实质为一对公私钥。数字证书可以自己制作,也可以向组织申请。前者在客户端访问时需要验证才能继续访问;后者不会弹出验证提示;
3, 服务器将公钥传输给客户端;
4,客户端验证公钥是否合法:无效(自己制作的)会弹出警告,有效的则生成一串随机数,用此随机数加密公钥;
5, 客户端将加密后的字符串传输给服务器 服务器收到字符串后,先使用私钥进行解密,获取加密使用的随机数,并以此随机数加密传输的数据(对称机密);
6, 服务器将加密后的数据传输给客户端; 客户端收到数据后,使用自己的私钥(即随机字符串)进行解密。
7,服务器将加密后的数据传输给客户端;
8,客户端收到数据后,使用自己的私钥(即随机字符串)进行解密。

 

 说明:对称加密:将数据和私钥(随机字符串)通过某种算法混合在一起,除非知道私钥,否则无法解密。

 

生成SSL密钥对

创建私钥Key

 

[root@dl-001 ~]# cd /usr/local/nginx/conf

// 创建私钥key文件,必须输入密码,否则无法生成key文件
[root@localhost conf]# openssl genrsa -des3 -out tmp.key 2048
Generating RSA private key, 2048 bit long modulus
..............................+++
...............................................................+++
e is 65537 (0x10001)
Enter pass phrase for tmp.key:
Verifying - Enter pass phrase for tmp.key:

转换key,取消密码

[root@dl-001 conf]# openssl rsa -in tmp.key -out test.key
Enter pass phrase for tmp.key:
writing RSA key

[root@dl-001 conf]# rm -f tmp.key 

 

https

标签:netstat   证书   number   ras   bubuko   环境   最大   alt   url重写   

原文地址:https://www.cnblogs.com/klsfct/p/10269396.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!