Nginx高级之HTTPS服务

最新推荐文章于 2024-05-14 08:14:07 发布
最新推荐文章于 2024-05-14 08:14:07 发布
阅读量563 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Nginx 文章标签: Java Nginx HTTPS服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ip_JL/article/details/84514643
本文详细介绍了HTTPS协议的安全原理,包括对称加密与非对称加密的使用,并提供了生成SSL证书的具体步骤。此外,还讲解了如何配置Nginx以支持HTTPS服务,以及HTTPS服务的优化方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

高级阶段回顾:

Nginx高级之Rewrite规则

Nginx高级之高级模块(secure_link/secure_link_md5/geoip_module)

HTTPS原理

HTTPS协议较为安全的原因就是对数据进行了加密传输.

两种加密方式:

① 对称加密: 加密密钥和解密密钥是一样的

② 非对称加密: 加密密钥和解密密钥是不一样的(分为公钥和私钥)

HTTPS协议同时用到了这两种加密方式:

中间人伪装成客户端或者服务端劫持:

注: HTTPS之所以安全性高, 在于它能够生成CA签名证书, 该证书确保中间人无法获取到该证书, 所以提高了数据传输的安全性.

生成密钥和CA证书

准备工作: 确认已经安装nginx和openssl

安装nginx请参考我的nginx系列第一篇: Nginx基础之简介与快速安装

yum安装openssl: yum install openssl 和 yum install openssl openssl-devel

确认是否已安装:

步骤一: 生成RSA密钥

生成密钥命令: openssl genrsa -idea -out [密钥文件名称] 1024

在这个过程中需要输入密码(自定义, 但需要记住, 下面的步骤需要提示输入该密码)

步骤二: 生成证书签名请求文件(CSR文件)

生成CSR文件命令: openssl req -new -key [密钥文件名称] -out [CSR文件名称]

输入相关信息即可:

步骤三: 生成证书签名文件(CA文件)

生成签名文件命令: openssl x509 -req -days 3650 -in [CSR文件名称] -signkey [密钥文件名称] -out [生成的CRT文件名称] 

配置HTTPS服务

是否开启服务端的相应:

systax: ssl on | off;

default: ssl off;

context: http域/server域

ssl的证书文件

systax: ssl_certificate file;

default: 无配置

context: http域/server域

ssl的证书密码文件

systax: ssl_certificate_key file;

default: 无配置

context: http域/server域

进入default.conf文件进行配置: https协议的默认端口时443

配置苹果要求的证书

准备工作:

① 服务器所有的连接使用TLS1.2以上的版本(openssl 1.0.2)

② HTTPS证书必须使用SHA256以上哈希算法签名

③ HTTPS证书必须使用RSA 2048位或ECC 256位以上公钥算法

④ 使用前向加密技术

升级openssl:

查看openssl的版本命令: openssl + version

如果需要升级, 请按下面的步骤:

cd /opt/opensslDownload
wget https://www.openssl.org/source/openssl-1.0.2k.tar.gz
tar -zxvf openssl-1.0.2k.tar.gz
cd openssl-1.0.2k
./config --prefix=/usr/local/openssl
make && make install
mv /usr/bin/openssl /usr/bin/openssl.OFF
mv /usr/include/openssl /usr/include/openssl.OFF
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
echo "/usr/local/openssl/lib" >>/etc/ld.so.conf
ldconfig -v
openssl version -a

将以上代码写入一个.sh的文件, 执行该文件 sh ./[.sh文件的文件名称]

结果:

由key密钥直接生成CRT签名:

命令: openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout [密钥文件名称] -out [生成的CRT文件名称]

进入default.conf配置:

引用New-Milky-Way.crt文件

重启nginx: 访问https://ip/

注: 是使用https://访问而不是http://访问.

HTTPS服务的优化

① 激活keepalive长连接

② 设置ssl session缓存

default.conf的配置:

Nginx配置HTTPS
要坚持,要认真。
10-16 5万+
Nginx配置HTTPS最近配置了现网网站的HTTPS,简单记录一下配置过程。先交代一下我的服务部署环境:Nginx监听80端口,转发到Tomcat的8080端口;服务器使用的是阿里云的ECS,操作系统是Windows Server 2012;CA证书也是在阿里云的CA证书服务上面申请的免费证书。 1. 申请CA证书 首先去购买CA证书。一般各大云服务提供商都会有此类证书服务,根据公司和业务需求
配置Nginx启用Https
topfine的博客
05-13 1189
本文主要介绍了在内网环境下、服务主机无域名的情况下,配置Nginx启用HTTPS的方法。服务主机操作系统为麒麟V10 SP3。
Nginx https配置
sunfei927的博客
08-13 481
超文本传输安全协议(Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。 http...
SpringBoot之Web开发基础
C8WATER
12-09 369
回顾 SpringBoot之基础 SpringBoot之配置 SpringBoot之日志 开发步骤 ① 创建SpringBoot应用, 选中所需的模块. ② 在配置文件中进行少量的配置 ③ 编写业务逻辑代码 自动配置原理 xxxAutoConfiguration: 给容器自动配置组件 xxxProperties: 配置类封装配置文件的内容 SpringBoot对静态资源的映射...
nginx使用ssl模块配置支持HTTPS访问
向死而生
02-23 7万+
背景: 项目开发中用到了微信小程序,但是服务器配置URL必须是HTTPS,所以需要通过配置nginx的SSL模块来支持HTTPS访问,也就是说,要做一个网站域名为 dmsdbj.com 要求通过HTTPS://dmsdbj.com进行访问. SSL英文名为Secure Socket Layer,安全套接字层。SSL是一种数字证书,它使用ssl协议在浏览器和web serv...
配置Spring框架下的定时器(quartz)
C8WATER
12-16 302
废话不多说, 直接上步骤: ① 新建一个mven工程, 配置pom.xml <!--spring的jar--> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId&gt...
Nginx服务器配置HTTPS nginx.config 配置文件(教程)
09-30
`nginx -t`用于测试配置文件是否有语法错误,`nginx -s reload`则用于在不中断服务的情况下重新加载配置。 此外,为了提供静态文件服务或处理动态请求,可以配置`location`块。例如,以下配置将根目录设置为`/home/...
nginx https 配置
11-23
"nginx https 配置"这个主题涉及到的是如何在Nginx上设置HTTPS服务,以实现网站的安全访问。HTTPS是HTTP协议的安全版本,通过使用SSL/TLS协议来加密数据传输,确保用户与服务器之间的通信不被中间人攻击。 首先,...
Nginx高性能WEB服务器系列.pdf
05-12
同时,文档也强调了在LAMP架构中整合Nginx的重要性,以及如何通过Nginx提供HTTPS服务和SSL加密,从而保护Web通信的安全。 Nginx还在一些特定的场景下提供了其他高级功能,例如用于TCP协议的负载均衡,这意味着Nginx...
最新Nginx如何支持HTTPS?手把手教会你每一步操作都贼简单,java高级面试
2401_84557821的博客
05-14 714
总的来说,面试是有套路的,一面基础,二面架构,三面个人。最后,小编这里收集整理了一些资料,其中包括面试题(含答案)、书籍、视频等。希望也能帮助想进大厂的朋友本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取Country Name (2 letter code) [XX]:CN # 国家代码。
Nginx 配置HTTPS 服务
墨雨听风的博客
04-02 966
Nginx 配置 HTTPS 服务器 byMihanon2016-08-16 Chrome 浏览器地址栏标志着 HTTPS 的绿色小锁头从心理层面上可以给用户专业安全的心理暗示,本文简单总结一下如何在 Nginx 配置 HTTPS 服务器,让自己站点上『绿锁』。 Nginx 配置 HTTPS 并不复杂,主要有两个步骤:签署第三方可信任的 SSL 证书和配置 HTTPS 签...
nginx实现https网站设置
weixin_33907511的博客
04-21 696
一、HTTPS简介 1.https简介 HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据 2.https协议原理 首先,客户端与服务器建立连接,各自生成私钥和公钥,是不同的。服务器返给客户端一个公钥,然后客户端拿着这个公钥把要搜索的东...
深入浅出 SSL 管理配置实战
GitChat
04-12 7833
课程介绍 我们生活在一个信息大爆炸的时代,几乎每天都在和互联网打交道,购物、网银转账、支付宝付款、搜索信息、查看邮件、观看视频、微信聊天、上网冲浪、阅读新闻等,无不时时刻刻在和网络打交道。那如何保护网络安全就相当重要了,其方法有很多,其中应用最为广泛的就是使用 SSL 来保护 C/S 或者 B/S 的通信安全。 SSL 能够帮助系统在客户端和服务器之间建立一条安全通信通道。SSL 安全协议是由 N...
JDK自带工具keytool生成ssl证书
tzxsc8的博客
06-24 153
JDK自带工具keytool生成ssl证书 前言: 因为公司项目客户要求使用HTTPS的方式来保证数据的安全,所以木有办法研究了下怎么生成ssl证书来使用https以保证数据安全。 百度了不少资料,看到JAVA的JDK自带生成SSL证书的工具:keytool,外加看了同事的心得体会,自己总结了一下具体的使用方法和使用过程中发现的问题及解决办法。 1:什么是HTTPSHTTPS其实是有两部分组成...
nginx上搭建https服务
zhangge3663的博客
11-30 1871
参考链接:https://www.cnblogs.com/dreamingodd/p/7357029.html Https、OpenSSL自建CA证书及签发证书、nginx单向认证、双向认证及使用Java访问 0.环境 本文的相关源码位于 https://github.com/dreamingodd/CA-generation-demo  必须安装nginx,必须安装openssl,(...
Nginx中配置https服务兼容访问http资源
进阶的蜗牛
09-10 1万+
Nginx中配置https服务兼容访问http资源 简介: HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错: Mixed Content: The page at ‘https://www.taobao.com/‘ was loaded over HTTPS, but requested an insecure image ‘http://g.alicdn.com
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失
ztnhnr的专栏
11-02 1万+
在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失”,我们知道 Chrome 升级到80版本后,默认限制了跨域携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx来解决SameSite问题的办法(需要使用Nginx反向代理站点)。 一、Cookie安全相关属性 HttpOn...
java mysql开启ssl_MySQL8开启ssl加密
weixin_39797393的博客
01-19 395
1 概述MySQL从5.7开始默认开启SSL加密功能,进入MySQL控制台后输入status可以查看ssl的状态,出现下图表示在使用ssl: 另外,ssl加密需要密钥与证书,可以使用openssl手动生成或使用mysql_ssl_rsa_setup自动生成,这里使用了mysql_ssl_rsa_setup.下面从安装开始.2 安装(可选)系统CentOS,直接使用yum安装(编译安装可以看这里),...
Https单向认证和双向认证
热门推荐
duanbokan的专栏
03-10 11万+
HTTPS单双向认证过程
如何基于nginx搭建https文件服务
最新发布
08-08
<think>首先,用户的问题是:“我想搭建基于NginxHTTPS文件服务器 请问如何使用Nginx配置HTTPS协议搭建文件服务器”。这是一个关于配置Nginx作为HTTPS文件服务器的具体问题。 我需要参考系统级指令: - 所有行内数学表达式必须使用$...$格式(但这个问题不涉及数学,所以可能不需要)。 - 独立公式必须使用$$...$$格式并单独成段(同样,可能不适用)。 - LaTeX语法正确(确保任何数学格式正确)。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识,例如[^1]。 用户可见层: - 回答结构清晰,帮助用户逐步解决问题。 - 尽量保证回答真实可靠。 - 引用站内引用:用户提供了几个引用,我需要参考这些来回答问题。 用户提供的引用: - [^1]: 关于配置Nginx HTTPS服务器的基本配置。 - [^2]: 讨论Nginx的优点和一些配置。 - [^3]: 关于正向代理HTTPS网站。 - [^4]: 关于FreeSWITCH和Nginx配置HTTPS。 - [^5]: 关于使用Nginx搭建文件下载服务器。 用户的问题是关于搭建HTTPS文件服务器,所以我应该主要参考[^1]和[^5],因为它们直接相关。[^1]是关于HTTPS配置,[^5]是关于文件下载服务器。 关键点: - 用户想搭建文件服务器,所以需要配置Nginx来提供文件下载。 - 需要HTTPS协议,所以必须配置SSL/TLS。 步骤概述(基于我的知识): 1. 获取SSL证书:可以是自签名或从CA获取(如Let's Encrypt)。 2. 配置Nginx:编辑nginx.conf文件,设置server块监听443端口,配置SSL证书路径,并设置文件服务。 3. 启用文件下载:配置location块指向文件目录,设置适当的权限。 4. 可选:重定向HTTP到HTTPS。 5. 重启Nginx服务。 参考用户引用: - 从[^1]:提供了SSL配置的基本模板,包括listen 443 ssl, ssl_certificate, ssl_certificate_key等。 - 从[^5]:关于文件下载服务器的配置,可能包括设置根目录、索引等。 [^5]的引用说:“使用 Nginx 搭建文件下载服务器”,但没有给出具体配置细节,只提供了链接。我需要基于一般知识回答。 用户提供的引用[^5]链接是:https://blog.youkuaiyun.com/u011046671/article/details/132526618,但我不能访问外部链接,所以我只能基于描述。 在回答中,我需要自然地添加引用标识。例如,当提到配置时,添加[^1]。 结构回答: - 介绍:简要说明Nginx配置HTTPS文件服务器的步骤。 - 步骤1:获取SSL证书。 - 步骤2:配置Nginx。 - 步骤3:设置文件服务。 - 步骤4:重启和测试。 - 生成相关问题。 使用中文回答。 生成相关问题:基于主题,如优化、安全、常见问题等。 完整回答框架: 1. 开头:直接回答问题。 2. 逐步指导。 3. 代码块:展示nginx.conf配置示例。 4. 结尾:生成相关问题。 配置示例(基于[^1]和一般知识): - 监听443端口。 - 设置SSL证书。 - 文件服务:设置根目录,禁用索引或允许列表。 - HTTP重定向到HTTPS(可选)。 从[^1]的配置: ``` server { listen 443 ssl; server_name localhost; ssl_certificate /root/Cert.crt; ssl_certificate_key /root/Server.key; # ... other ssl settings } server { listen 80; server_name yourdomain.com; rewrite ^(.*)$ https://$host$1; } ``` 对于文件服务器,添加location: ``` location / { root /path/to/files; autoindex on; # to list files } ``` 在HTTPS server块中。 确保安全:设置正确权限。 最终配置示例: ``` server { listen 443 ssl; server_name yourdomain.com; ssl_certificate /etc/nginx/ssl/cert.crt; ssl_certificate_key /etc/nginx/ssl/private.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:...'; location / { root /var/www/files; autoindex on; # enable directory listing for downloads # or disable if not needed } } server { listen 80; server_name yourdomain.com; return 301 https://$host$request_uri; } ``` 在回答中,解释每个部分。 生成相关问题: 1. 如何生成自签名SSL证书? 2. 如何优化Nginx文件服务器性能? 3. 如何限制文件访问权限? 4. 等等。 引用:当使用引用内容时添加[^1],例如在提到SSL配置时。 回答以中文写。</think>### 使用Nginx配置HTTPS协议搭建文件服务器 要搭建基于NginxHTTPS文件服务器,您需要完成以下步骤:获取SSL证书、配置Nginx以启用HTTPS和文件服务、设置文件目录权限,并测试服务器。下面我将以清晰、逐步的方式指导您完成整个过程。配置基于Nginx的稳定性和高性能特性(如事件驱动的异步处理),确保文件下载高效可靠[^2]。 #### 步骤1: 获取SSL证书 HTTPS服务器需要SSL/TLS证书来加密通信。您可以选择: - **自签名证书**:适合测试环境,使用OpenSSL生成: ```bash openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/server.key -out /etc/nginx/ssl/server.crt ``` 命令会生成证书文件(server.crt)和私钥文件(server.key),存储在`/etc/nginx/ssl/`目录。 - **CA签名证书**:用于生产环境,推荐从Let's Encrypt免费获取(使用Certbot工具自动化申请)。 #### 步骤2: 配置Nginx支持HTTPS和文件服务 编辑Nginx配置文件(通常位于`/etc/nginx/nginx.conf`或`/etc/nginx/sites-available/default`),添加以下内容。配置包括: - 监听443端口启用HTTPS,使用SSL证书。 - 设置文件根目录,启用目录列表(autoindex)以允许文件浏览和下载。 - 可选:添加HTTP到HTTPS的重定向,提升安全性。 ```nginx # HTTPS 文件服务器配置 server { listen 443 ssl; # 监听SSL端口 server_name yourdomain.com; # 替换为您的域名或IP ssl_certificate /etc/nginx/ssl/server.crt; # 证书路径 ssl_certificate_key /etc/nginx/ssl/server.key; # 私钥路径 ssl_protocols TLSv1.2 TLSv1.3; # 推荐使用较新协议[^1] ssl_prefer_server_ciphers on; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384'; # 安全加密套件[^1] ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # 文件服务设置 location / { root /var/www/files; # 文件存储目录,替换为您的路径 autoindex on; # 启用目录列表,显示可下载文件 # 可选:禁用索引,仅允许直接访问文件 # autoindex off; } } # HTTP 重定向到 HTTPS (可选但推荐) server { listen 80; server_name yourdomain.com; # 同上 return 301 https://$host$request_uri; # 永久重定向[^1] } ``` **关键参数说明**: - `ssl_certificate`和`ssl_certificate_key`:指向您的证书和私钥文件路径。 - `root`:设置文件服务器的根目录,例如`/var/www/files`。确保目录存在且有正确权限。 - `autoindex on`:允许用户通过浏览器查看和下载文件列表。如果仅想允许直接文件访问,设为`off`。 - 其他SSL参数(如`ssl_protocols`和`ssl_ciphers`)优化安全性和性能[^1][^2]。 #### 步骤3: 设置文件目录权限 确保文件目录可被Nginx进程访问: ```bash sudo mkdir -p /var/www/files # 创建目录 sudo chown -R www-data:www-data /var/www/files # 设置Nginx用户(通常为www-data)为所有者 sudo chmod 755 /var/www/files # 设置适当权限 ``` 将文件放入此目录(如使用`cp`或FTP),Nginx将自动提供下载服务。 #### 步骤4: 重启Nginx并测试 - 检查配置语法: ```bash sudo nginx -t ``` 如果输出`Syntax OK`,则重启服务: ```bash sudo systemctl restart nginx ``` - 测试文件服务器: - 浏览器访问`https://yourdomain.com`,应显示文件列表(如果autoindex on)。 - 使用命令行工具测试: ```bash curl -k https://yourdomain.com/yourfile.txt # -k忽略自签名证书警告 ``` - 如果遇到问题,检查Nginx错误日志: ```bash tail -f /var/log/nginx/error.log ``` #### 注意事项 - **性能优化**:对于大文件下载,可在`location`块添加`sendfile on;`和`tcp_nopush on;`提升效率[^2]。 - **安全性**:限制访问权限(如添加`allow/deny`规则),或使用`auth_basic`添加密码认证。 - **域名绑定**:如果使用公网IP,需在DNS设置中将域名解析到服务器IP。 - 参考Nginx官方文档或社区资源(如[^5])获取更多文件服务高级配置。 通过以上步骤,您已成功搭建安全的HTTPS文件服务器。Nginx的高可靠性确保服务长期稳定运行[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值