nginxhttps部署认证,教你拥有自己的域名
1.准备工作
1.准备工作
你需要有一台云服务器和一个已经申请的域名,这里给大家阿里云服务器网址,里面都有详细的购买步骤,我们主要来说说证书的申请与认证。 1.为什么要申请证书?
- HTTP 协议(HyperText Transfer Protocol,超文本传输协议):是客户端浏览器或其他程序与Web服务器之间的应用层通信协议 。
- HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):可以理解为HTTP+SSL/TLS, 即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP 数据传输。
- 客户端在接受到服务端发来的SSL证书时,会对证书的真伪进行校验,以浏览器为例说明如下:*
(1)首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验
(2)浏览器开始查找操作系统中已内置的受信任的证书发布机构CA,与服务器发来的证书中的颁发者CA比对,用于校验证书是否为合法机构颁发
(3)如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的。
(4)如果找到,那么浏览器就会从操作系统中取出颁发者CA 的公钥,然后对服务器发来的证书里面的签名进行解密
(5)浏览器使用相同的hash算法计算出服务器发来的证书的hash值,将这个计算的hash值与证书中签名做对比
(6)对比结果一致,则证明服务器发来的证书合法,没有被冒充
(7)此时浏览器就可以读取证书中的公钥,用于后续加密了
(8)client与web协商对称加密算法,client生成一个对称加密密钥并使用web公钥加密,发送给web服务器,web服务器使用web私钥解密
(9)使用对称加密密钥传输数据,并校验数据的完整性 2.证书申请 阿里云提供免费的证书,不需要人工审核,用来做测试是非常不错的选择,申请地址证书购买
证书控制台,然后证书申请并填入相关信息。2.证书下载
xxx.keyxxx.pem在下载验证文件完成之后,笔者需要把文件放到服务器中去,这里提供一条复制命令[root@aliyun ~]scp ~/Downloads/fileauth.txt root@X.X.X.X:~/或者你也可以打开云服务器自己上传,传到哪个目录下都行,但是目录你需要记清楚,下面还要用到。
[root@aliyun ~] unzip xx.xx.xx.zip 解压
[root@aliyun ~] ls 你会发现有两个文件。一个以key结尾一个以pem
[root@xiaoxuan ~] mkdir -p /etc/nginx/cert
[root@aliyun ~] cp 2447549_www.testpm.top* /etc/nginx/cert/
[root@aliyun ~] cd /etc/nginx/cert/
[root@aliyun cert] mv 2447549_www.testpm.top.key www.testpm.top.key
[root@aliyun cert] mv 2447549_www.testpm.top.pem www.testpm.top.pem
上面的步骤是将这两文件改名并移动到/etc/nginx/cert/目录下3.证书配置
[root@aliyun ~] vim /etc/nginx/conf.d/default.conf 进入配置文件(可能你跟我的不一样不要直接复制)
我们需要添加的内容在下载证书那里以下属性中以ssl开头的属性代表与证书配置有关,其他属性请根据自己的需要进行配置。
server {
listen 443 ssl; SSL协议访问端口号为443。此处如未添加ssl,可能会造成Nginx无法启动。
server_name www.testpm.top; 将localhost修改为您证书绑定的域名,例如:www.example.com。
root html;
index index.html index.htm;
ssl_certificate /etc/nginx/cert/2447549_www.testpm.top.pem; 将domain name.pem替换成您证书的文件名。
ssl_certificate_key /etc/nginx/cert/2447549_www.testpm.top.key; 将domain name.key替换成您证书的密钥文件名。
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; 使用此加密套件。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 使用该协议进行配置。
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html; 站点目录。
index index.html index.htm;
}
}4.测试
修改配置文件之后,需要测试nginx配置文件是否正确
[root@aliyun ~] nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@aliyun ~] nginx -s reload你们的评论和点赞是我写文章的最大动力,蟹蟹。
