nginx 配置 ssl http2.0

最新推荐文章于 2025-05-24 21:15:45 发布
最新推荐文章于 2025-05-24 21:15:45 发布
阅读量856 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: nginx ssl http2 文章标签: nginx ssl http2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HAOWENQI008/article/details/79142831
本文详细介绍HTTPS证书的生成步骤及配置方法,并演示如何通过Nginx和Tomcat部署HTTPS及HTTP2.0,实现安全的数据传输。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http2.0 介绍参考知乎:https://www.zhihu.com/question/34074946

编译nginx:

在开始我们的任务之前,请先下载 OpenSSL,pcre,Zlib 跟 Nginx源码 ,并且全部解压到同一个目录,假设为 nginx,这时候的代码结构如下:

nginx-1.9.14
openssl-1.0.2g
pcre-8.38
zlib-1.2.11
进入nginx源码目录 

cd nginx-1.9.14/
编译: 

./configure --prefix=/usr/local/nginx --with-http_v2_module --with-http_ssl_module --with-pcre=../pcre-8.38 --with-openssl=../openssl-1.0.2g --with-zlib=../zlib-1.2.11
安装: 

make && make install
开启https:

------------------------------------------------------------

HTTPS证书验证流程(极简化版)
    1.客户端向服务端请求证书(server.crt)
    2.服务端下发证书(server.crt)
    3.客户端用预制的受信任机构的证书(ca.crt)来验证服务端下发的证书(server.crt)是否合法,并且还会校验下发下来的证书里的域名与要请求的域名是否一致
    【以下步骤开启双向验证后才会触发】
    4. 客户端选择一个由受信任的机构(ca.crt)颁发的证书(client.crt)发送给服务端
    5.服务端用预制的受信任机构的证书(ca.crt)来验证客户端传来的证书(client.crt)是否合法

-----------------------------------------------------------------

以下是证书生成步骤及说明:

------------------------CA证书-------------------------------

1. 创建根证书密钥文件(自己做CA)ca.key:
    openssl genrsa -des3 -out ca.key 2048
    #去除密码
    openssl rsa -in ca.key -out ca.key

2. 创建根证书的申请文件ca.csr:
    openssl req -new -key ca.key -out ca.csr

3. 创建一个自当前日期起为期十年的根证书ca.crt【用来签名其它证书,并配置在客户端信任列表,如果开启双向验证,也需要配置在服务端】:
    openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.crt

------------------------Server端要下发的证书---------------------------------
4. 创建服务器证书密钥server.key:
    openssl genrsa -des3 -out server.key 2048
    #去除密码
    openssl rsa -in server.key -out server.key

5. 创建服务器证书的申请文件server.csr:
    openssl req -new -key server.key -out server.csr

6. 创建自当前日期起有效期为期两年的服务器证书server.crt【配置在服务端,将会在客户端请求时下发给客户端】:
    openssl x509 -req -days 730 -sha1 -extensions v3_req -CA ca.crt -CAkey ca.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.crt


------------------------Client端要下发的证书【开启双向验证后才需要】---------------------------------
7. 创建客户端证书密钥文件client.key:
    openssl genrsa -des3 -out client.key 2048
    #去除密码
    openssl rsa -in client.key -out client.key

8. 创建客户端证书的申请文件client.csr:
    openssl req -new -key client.key -out client.csr

9. 创建一个自当前日期起有效期为两年的客户端证书client.crt【配置在客户端】:
    openssl x509 -req -days 730 -sha1 -extensions v3_req -CA ca.crt -CAkey ca.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.crt

------------------------各种格式转换---------------------------------

a. crt+key转pfx【pfx是证书安装包,方便在电脑上直接双击按向导安装证书】
    openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx

b. pfx转化为pem【curl需要pem格式文件】
    openssl pkcs12 -in client.pfx -nodes -out client.pem

c. crt+key转p12【apache的cxf客户端支持jks和p12证书】
    openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

d. crt转jks【jks支持存放信任证书,而pkcs12不支持,所以tomcat环境下配置ca只能使用jks才能保证ca密钥不泄露】
    keytool -import -v -trustcacerts -storepass defaultpwd -keypass defaultpwd -file ca.crt -keystore ca_only.jks

---------------------------------------------------------
关于创建证书的申请文件(.csr)时的输入内容
    Country Name (2 letter code) [AU]:CN【国家代号,中国输入CN】
    State or Province Name (full name) [Some-State]:BeiJing【省的全名,拼音】
    Locality Name (eg, city) []:BeiJing【市的全名,拼音】
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp.【公司英文名】
    Organizational Unit Name (eg, section) []: 【可以不输入】
    Common Name (eg, YOUR name) []:【对于server.csr需要输入网站的域名以作校验,其余的csr可随意填写】
    Email Address []:admin@mycompany.com【电子邮箱,可随意填】

    Please enter the following ‘extra’ attributes
    to be sent with your certificate request
    A challenge password []:【可以不输入】
    An optional company name []:【可以不输入】


-----------------------nginx开启https配置--------------------------

[plain]  view plain  copy
  1. server {  
  2.     #上线请将端口改为默认443  
  3.     listen       8443 ssl http2;  
  4.     server_name  your_domain;  
  5.     index  index.html index.htm;  
  6.   
  7.     ssl                  on;  
  8.     ssl_certificate      /your/certs/path/server.crt;  
  9.     ssl_certificate_key  /your/certs/path/server.key;  
  10.       
  11.     #以下两行注释用来开启双向验证  
  12.     #ssl_client_certificate /your/certs/path/ca.crt;  
  13.     #ssl_verify_client on;  
  14.   
  15.     ssl_session_timeout  5m;  
  16.       
  17.     location /your_https_path/ {  
  18.         proxy_pass_header Server;  
  19.         proxy_set_header Host $http_host;  
  20.         proxy_set_header X-Real-IP $remote_addr;  
  21.         proxy_set_header X-Scheme $scheme;  
  22.         proxy_pass http://your_http_host:port/your_http_path/;  
  23.     }  
  24.   
  25. }  

-------------------------tomcat开启https配置【clientAuth用来开启双向验证】-----------------------------------

[html]  view plain  copy
  1. <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"  
  2.                maxThreads="150" SSLEnabled="true" scheme="https" secure="true"  
  3.                clientAuth="true" sslProtocol="TLS"  
  4.                keystoreType="PKCS12"  
  5.                keystoreFile="c:/server/certs/path/server.p12" keystorePass="defaultpwd"  
  6.                truststoreType="JKS"  
  7.                truststoreFile="c:/ca/certs/path/ca_only.jks" truststorePass="defaultpwd" />  


启动nginx 

/usr/local/nginx/sbin/nginx

浏览器访问结果如下:




本地开发环境nginx配置HTTPS,使用https证书
内脏裂了
03-26 1179
解决方案 使用OpenSSL生成所有证书。 步骤1:根SSL证书 第一步是创建根安全套接字层(Secure Sockets Layer -SSL)证书。然后,可以使用此根证书对任意数量的独立域名的证书进行签名。如果您不熟悉SSL生态系统,DNSimple的这篇文章很好地介绍了根SSL证书。 生成一个RSA-2048密钥并将其保存到文件rootCA.key中。此文件将用作生成根SSL证书的密钥。每次使用此特定密钥生成证书时,都会提示您输入一个pass短语。 openssl genrsa -des3 -out
如何让服务器端的Nginx支持http2.0协议
保持热爱。
04-25 3094
如果客户端请求使用HTTP/1.1协议,服务器可以在响应中指定HTTP/2.0协议,并自动升级协议。需要注意的是,如果Web服务器和客户端不支持HTTP/2.0协议,则仍将使用较旧的HTTP/1.1协议。如果想在Web服务器上启用HTTP/2.0协议,需要确保HTTP服务器软件已更新到支持HTTP/2.0的版本,并进行必要的配置
HTTPS证书验证流程及SSL证书生成步骤【附nginx开启https配置
witmind的专栏
11-06 1万+
------------------------------------------------------------ HTTPS证书验证流程(极简化版) 1.客户端向服务端请求证书(server.crt) 2.服务端下发证书(server.crt) 3.客户端用预制的受信任机构的证书(ca.crt)来验证服务端下发的证书(server.crt)是否合法,并且还会校验下...
如何启用和配置HTTP/2
最新发布
深山技术宅的博客
05-24 1386
如何启用和配置HTTP/2
HTTPS 证书认证流程
yx1166的博客
04-20 7047
发送信息的一方(客户端)使用服务端的公钥加密 "对称密钥",服务端使用私钥解密拿到 "对称密钥"。这样可以确保 "对称密钥" 的传输过程是安全的,后续就可以使用 “对称密钥” 进行数据加密传输。
验证证书的过程
mycoolx的专栏
10-22 4687
证书的结构中的关键内容包括:序列号、公钥、用户名称、签发者、CA签名和其他一些附属信息等。证书验证过程就是依赖于这信息和公钥对应的私钥进行。通常的证书验证过程包括以下要点:         1、确认证书内容是正确的和完整的,没有被篡改,CA签名是正确的;         2、确认证书是有效的,在有效期内并且没有被吊销(CRL中没有该证书序列号);         3、确认CA证书是可以被信任
CA证书的验证流程
EdmundXjs的博客
02-19 1142
浏览器内置了受信任的根证书列表(DigiCert、GlobalSign、Entrust),证书链最终能追述到根证书的才会被信任,也就是说只有由这些根证书颁发或间接颁发的证书才会被信任。签名是上级证书使用私钥对证书信息按照固定组合和算法生成的签名进行的加密,验证时需要通过公钥对签名解密,而后对信息进行签名,比对解密的签名,一致后通过签名的验证。获取上级证书,需要通过证书内的权威信息扩展内的CA Issuers的URL地址信息进行获取,而后重复递归,直到获取到根证书颁发机构。浏览器从服务器获取数字证书。
支持http2.0的服务器,Nginx配置开启Http2.0支持方法
05-27
2. 配置SSL证书,确保您的证书是符合HTTP/2要求的。可以使用自己的证书或免费的证书,如Let’s Encrypt。 3. 重新启动Nginx服务器。 以下是一个例子: ``` server { listen 443 ssl http2; server_name example...
HTTP2.0原理讲解,NGINX部署HTTP2.0详细步骤 openssl
qq_38166546的博客
11-26 1599
[ root@locathost ~ ] # tar -xf openssl-102h. tar.gz -C /usr/Local/openssl
HTTP2.0学习 与 Nginx和Tomcat配置HTTP2.0
li123128的博客
03-26 777
  一、HTTP2.0      1.1 简介      1.2 新的特性      1.3 h2c 的支持度      二、Nginxhttp2.0 的支持      2.1 Nginx 作为服务端使用http2.0      2.2 Nginx 作为客户端使用 http2.0      三、Tomcat 对 HTTP2.0 的支持      3.1 、Tomcat 8.5      3....
nginx安装http2.0协议
weixin_43885541的博客
10-28 1184
HTTP2协议 HTTP 2.0 的主要目标是改进传输性能(视频插件路数),实现低延迟和高吞吐量。 编译安装nginx #1.安装依赖 [root@node1 ~]# yum install -y gcc gcc-c++ pcre pcre-devel openssl-devel zlib zlib-devel #2.下载安装 [root@node1 ~]# cd /usr/local/src/ [root@node1 src]# wget http://nginx.org/download
关于HTTPS通信和证书验证的流程
Gii16的博客
06-25 1205
https的流程见文章:https://zhuanlan.zhihu.com/p/24854237 梳理一遍: 1.客户端发起请求; 2.服务器端返回确认并发起请求; 3.客户端发出ssl通信相关内容,包括ssl版本、可用算法列表、密匙长度等; 4.服务器端返回相同的ssl请求; 5.服务器端发送服务器的证书给客户端; 6.服务器端告诉客户端,关于服务器端的SSL相关信息和证
https 证书和认证流程
TheThirdMoon的博客
04-07 786
信息验证和加解密需要依靠公钥和私钥,公钥和私钥是由程序生成的两端有关联的信息。 + **信息验证**:现在要验证信息A传递给B,为了防止被比人篡改,可以用私钥签名信息A(用特定的程序把私钥和信息混合在一起,生成一段新的非人类能理解的数据)A1,然后将A和A1一起传递给B,然后B用公钥验证A1,验证通过则A没有被篡改。 + **加解密**:现在要验证信息A传递给B,已经对A进行签名,随意不怕被篡改,但是仍可以被其他人看见内容,此时可以对A用公钥进行加密,生成密文A2,然后将A1,A2传递给B,B用私钥可以解
Nginx配置开启HTTP2支持
Heartsuit的博客
03-16 1万+
背景 目前主流的HTTP/1.1标准,自1999年发布的RFC2616之后再未进行修订,实际生产中,想通过HTTP/2使得系统响应更快,顺便体验下这个较新的标准。借用下《图解HTTP》中的一句话: HTTP2的目标是改善用户在使用Web时的速度体验。 Note: 具体使用的HTTP版本可通过浏览器控制台查看。 检测下自己的网站是否支持HTTP2: 关于HTTP/2HTTP/1速度对比 环境要求 Nginx的版本必须在1.9.5以上,该版本的Nginx使用http_v2_modu
HTTPS验证流程
weixin_45794641的博客
04-12 2830
HTTPS验证流程 1.HTTPS简介 ​ 由于HTTP在网络中是明文传输的,所以数据在传输过程中很容易被截取,这时就会有一些加密算法及方式出来,比如对称加密、非对称加密等方式,在HTTPS中加密其实是在TCP和HTTP之间加了一层SSL/TLS协议用于加密。 2.对称加密 2.1 对称加密的工作流程 ​ 对称加密其实就是发送方和接收方都拥有一把相同的密钥,发送方在发送之前会对数据通过密钥进行加密,然后传输到接收方,接收方会通过密钥进行解密获取数据。 ​ 在浏览器和服务器之间交互也是这样的,服务端拥有这把
https证书验证过程有哪些程序
蔚可云的博客
09-30 504
这个年代,大家对于网络的依赖性还是很强的,无论是通信还是信息的搜索,都离不开网络服务器的。那么,https证书验证过程有哪些程序?首先,浏览器可以将自己支持的一套规则直接发送到网站中,这规则必须严格保密才行。之后网站就会去挑选一系列加密的算法等,而且还把自己身份的相关信息直接以证书的形式发回给浏览器、证书里面包括的内容比较多,比如网站的具体网址以及加密公钥,并且证书的颁发机构等都必须具备。 还有,浏览器在获得了网站的证书之后必须要做足相关的工作,第一就是去验证证书的合法性,其实现在很多证书都是伪造的,合法
nginx配置启用http2
todd的博客
12-29 5044
HTTP/2也被称为HTTP 2.0,相对于HTTP 1.1的新增多路复用、压缩HTTP头、划分请求优先级、服务端推送等特性,解决了在HTTP 1.1中一直存在的问题,优化了请求性能,同时兼容了HTTP 1.1的语义。目前,Chrome、 IE11、Safari和Firefox等浏览器已经支持HTTP/2协议。HTTP/2的优势二进制协议:相比于HTTP 1.x基于文本的解析,HTTP/2将所有的传输信息分割为更小的消息和帧,并对它们采用二进制格式编码。
nginx支持http 2.0
weixin_33980459的博客
01-16 322
先查看 现在的nginx的模块 nginx -V 然后执行这个命令 ./configure --with-http_ssl_module --with-http_v2_module make 执行完成后 这个里面有一个nginx 替换掉sbin的 nginx 就可以了 ...
nginx配置域名启用http2协议
热门推荐
星空的风fly
05-13 3万+
HTTP1.1则在1999年才开始广泛应用于现在的各大浏览器网络请求中,同时HTTP1.1也是当前使用最为广泛的HTTP协议。HTTP/2在支持HTTP1.1的基础上拓展了, 较之1.1在性能上有着大幅度的提升。现在基本都主流浏览器都支持HTTP2协议,许多支持HTTPS的网站基本也都启用了HTTP2协议,若我们的域名配置HTTPS证书,可以在nginx配置启用HTTP2协议,加速网站响应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值