nginx访问控制、用户认证、https配置、免费https证书申请、状态页面开启和监控

已于 2022-10-14 16:03:36 修改
阅读量988 收藏
点赞数
文章标签: nginx https 服务器
于 2022-10-14 02:48:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_62469712/article/details/127311519
版权
本文详细介绍了如何进行nginx的访问控制,设置基于用户的认证,详述了https的配置步骤,包括创建密钥和证书,同时讲解了如何申请免费的https证书,以及如何开启和监控nginx的状态页面。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

nginx访问控制

用于location段
allow:设定允许哪台或哪些主机访问,多个参数间用空格隔开
deny:设定禁止哪台或哪些主机访问,多个参数间用空格隔开
示例:

        location ~* ^/abc$ {
            deny 192.168.64.129;
            echo "wawa";
        }

        location / {
            echo "haha";
<nx/conf/nginx.conf" 126L, 2752C written 
[root@nginx ~]# systemctl restart nginx.service

在这里插入图片描述

基于用户认证

先安装一下apache的工具安装包

[root@nginx ~]# which htpasswd
/usr/bin/which: no htpasswd in (/usr/local/nginx/sbin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin)
[root@nginx ~]# dnf provides *bin/htpasswd
Last metadata expiration check: 0:38:54 ago on Thu 13 Oct 2022 11:11:45 PM CST.
httpd-tools-2.4.37-41.module_el8.5.0+977+5653bbea.x86_64 : Tools for
     ...: use with the Apache HTTP Server
Repo        : AppStream
Matched from:
Other       : *bin/htpasswd

httpd-tools-2.4.37-43.module_el8.5.0+1022+b541f3b1.x86_64 : Tools for
     ...: use with the Apache HTTP Server
Repo        : AppStream
Matched from:
Other       : *bin/htpasswd

[root@nginx ~]# dnf -y install httpd-tools
过程省略。。。。。

生成加密文化

[root@nginx ~]# htpasswd -c -m /usr/local/nginx/conf/.htpasswd tom
New password: 
Re-type new password: 
Adding password for user tom
[root@nginx ~]# 
[root@nginx ~]# cd /usr/local/nginx/conf/
[root@nginx conf]# cat .htpasswd 
tom:$apr1$E9/TWbvk$4oH9zJd0fcW7R0/yi4tHA1
[root@nginx conf]#

这里的密码为加密后的密码串,建议用htpasswd来创建此文件:

location / {
            auth_basic "cys";
            auth_basic_user_file .htpasswd;
            echo "haha";
        }

[root@nginx conf]# systemctl restart nginx.service

在这里插入图片描述
在这里插入图片描述

https配置

创建密匙存放目录

[root@nginx conf]# mkdir -p /etc/pki/CA
[root@nginx conf]# cd /etc/pki/CA/
[root@nginx CA]# 
[root@nginx CA]# mkdir private
[root@nginx CA]# ls
private

生成密钥

[root@nginx CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus (2 primes)
...................................+++++
........................+++++
e is 65537 (0x010001)
[root@nginx CA]# ls private/
cakey.pem
[root@nginx CA]#

CA生成自签署证书

[root@nginx CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
[root@nginx CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:HB
Locality Name (eg, city) [Default City]:WH
Organization Name (eg, company) [Default Company Ltd]:www.cys.com
Organizational Unit Name (eg, section) []:www.cys.com
Common Name (eg, your name or your server's hostname) []:www.cys.com
Email Address []:1@2.com
[root@nginx CA]# 
[root@nginx CA]# mkdir certs newcerts crl
[root@nginx CA]# touch index.txt && echo 01 > serial
[root@nginx CA]# ls
cacert.pem  certs  crl  index.txt  newcerts  private  serial
[root@nginx CA]#

客户端(例如httpd服务器)生成密钥

[root@nginx ~]# cd /usr/local/nginx/
[root@nginx nginx]# ls
client_body_temp  fastcgi_temp  logs        sbin       uwsgi_temp
conf              html          proxy_temp  scgi_temp
[root@nginx nginx]# cd conf/
[root@nginx conf]# mkdir ssl
[root@nginx conf]# cd ssl/
[root@nginx ssl]# (umask 077;openssl genrsa -out nginx.key 2048)
Generating RSA private key, 2048 bit long modulus (2 primes)
..........................................................................................................................................+++++
.......................+++++
e is 65537 (0x010001)
[root@nginx ssl]#

客户端生成证书签署请求

[root@nginx ssl]# openssl req -new -key nginx.key -days 365 -out nginx.csr
Ignoring -days; not generating a certificate
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:HB     
Locality Name (eg, city) [Default City]:WH
Organization Name (eg, company) [Default Company Ltd]:www.cys.com
Organizational Unit Name (eg, section) []:www.cys.com
Common Name (eg, your name or your server's hostname) []:www.cys.com
Email Address []:1@2.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@nginx ssl]#

CA签署提交上来的证书

[root@nginx ssl]# openssl ca -in nginx.csr -out nginx.crt -days 365
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Oct 13 16:19:51 2022 GMT
            Not After : Oct 13 16:19:51 2023 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = HB
            organizationName          = www.cys.com
            organizationalUnitName    = www.cys.com
            commonName                = www.cys.com
            emailAddress              = 1@2.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                02:39:C2:56:17:49:42:BD:56:67:E4:12:1A:58:71:95:92:C6:CC:AF
            X509v3 Authority Key Identifier: 
                keyid:BE:18:8B:82:13:9F:7E:25:F1:17:AF:B3:F4:CE:4E:AF:C1:2B:77:BA

Certificate is to be certified until Oct 13 16:19:51 2023 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@nginx ssl]# ls
nginx.crt  nginx.csr  nginx.key
[root@nginx ssl]# 
[root@nginx ssl]# rm -f *.csr
[root@nginx ssl]# ls
nginx.crt  nginx.key
[root@nginx ssl]#

生成私钥,生成证书签署请求并获得证书,然后在nginx.conf中配置如下内容:

[root@nginx ssl]# cd ..
[root@nginx conf]# ls
fastcgi.conf            mime.types           ssl
fastcgi.conf.default    mime.types.default   uwsgi_params
fastcgi_params          nginx.conf           uwsgi_params.default
fastcgi_params.default  nginx.conf.default   win-utf
koi-utf                 scgi_params
koi-win                 scgi_params.default
[root@nginx conf]# vim nginx.conf
#把注释都取消掉
# HTTPS server
    #
    server {
        listen       443 ssl;
        server_name  www.cys.com;

        ssl_certificate      ssl/nginx.crt;
        ssl_certificate_key  ssl/nginx.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

}

重启

[root@nginx conf]# systemctl restart nginx.service 
[root@nginx conf]# ss -antl
State  Recv-Q Send-Q  Local Address:Port   Peer Address:Port Process 
LISTEN 0      128           0.0.0.0:443         0.0.0.0:*            
LISTEN 0      128           0.0.0.0:80          0.0.0.0:*            
LISTEN 0      128           0.0.0.0:22          0.0.0.0:*            
LISTEN 0      128              [::]:22             [::]:*            
[root@nginx conf]#

在这里插入图片描述

免费https证书申请

阿里云购买

https://promotion.aliyun.com/ntms/act/sslbuy.html?spm=5176.21213303.782131.6.38fa53c9fGENj0&scm=20140722.S_card@@%E4%BA%A7%E5%93%81@@233187.S_cardgbdt.ID_card@@%E4%BA%A7%E5%93%81@@233187-RL_%E8%AF%81%E4%B9%A6-OR_ser-V_2-P0_0

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
自己服务器使用点下载
在这里插入图片描述
在这里插入图片描述

申请成功了有这个文件,拉到虚拟机里

[root@nginx ~]# ls
'\'                                 nginx-1.20.2.tar.gz
 8613512_www.cys486.top_nginx.zip   nginx-1.22.0
 anaconda-ks.cfg                    nginx-1.22.0.tar.gz
 nginx-1.20.2                       nginx_module_echo
[root@nginx ~]# unzip 8618537_www.cys486.top_nginx.zip 
Archive:  8618537_www.cys486.top_nginx.zip
Aliyun Certificate Download
  inflating: 8618537_www.cys486.top.pem  
  inflating: 8618537_www.cys486.top.key  
[root@nginx ~]# 
[root@nginx ~]# mv 8618537_www.cys486.top.key nginx.key
[root@nginx ~]# mv 8618537_www.cys486.top.pem nginx.crt

配置域名

[root@nginx ~]# cd /usr/local/nginx/conf/ssl/
[root@nginx ssl]# ls
nginx.crt  nginx.key
[root@nginx ssl]# rm -rf *
[root@nginx ssl]# mv ~/nginx.key ~/nginx.crt .
[root@nginx ssl]# ls
nginx.crt  nginx.key

[root@nginx ssl]# cd ..
# HTTPS server
    #
    server {
        listen       443 ssl;
        server_name  www.cys486.top;			//改成自己有的域名

        ssl_certificate      ssl/nginx.crt;
        ssl_certificate_key  ssl/nginx.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

[root@nginx conf]# systemctl restart nginx.service

状态页面开启和监控

location = /status {						//添加
            stub_status;
        }

在这里插入图片描述

[root@nginx ~]# while :;do curl http://127.0.0.1;done

在这里插入图片描述

状态监控

[root@nginx ~]# curl -s http://192.168.64.129/status|awk 'NR==4{print $2}'
0
[root@nginx ~]# curl -s http://192.168.64.129/status|awk 'NR==4{print $4}'
1
[root@nginx ~]# curl -s http://192.168.64.129/status|awk 'NR==4{print $6}'
0
cy大马猴
关注
https证书申请过程(用于nginx
科比可比克
03-26 717
https证书申请过程 文章摘要 在上一篇文章完整搭建linux服务器中介绍了一台服务器从空的操作系统到最后应用通过 https 访问的完整过程,其中上篇文章中在介绍 https 申请时比较简单,这里专门用一篇文章来讲一下详细过程,以及过程中常见问题处理。 https申请整个过程 需要先服务器上生成私钥文件 server.key,以及申请证书申请文件 csr 后缀的文件。 将证书申请 csr 上...
nginx访问控制用户认证配置https,zabbix监控nginx状态页面
Albert_OS的博客
10-14 466
nginx访问控制用户认证配置https,zabbix监控nginx状态页面
Nginx配置https免费证书
github_37271067的博客
10-31 1540
yum install certbot https取代http是大势所趋,https的好处本文不在赘述,很多公司机构都在推进这一进程,Apple公司甚至规定,iOS上的App应用必须使用https。因此,正是受到Apple的限制,我们的站点,几乎是所有的站点,接近上百个,都支持了https。 如何获取SSL证书? 自签名证书 我们可以自己为自己颁发SSL证书,这样的证书满足为http加密的要求,但这样的证书缺少权威性,不会被浏览器所承认。在客户端完全可控的情况下,例如没有经过浏览器,或者使用其他的框架
nginx配置https证书https数字证书申请
热门推荐
terry711的专栏
03-21 1万+
越来越多的第三方接入需要使用https了,很多时候不止到证书到那里免费申请申请后怎么配置免费证书收费证书主要的差别有几点 免费证书 收费证书 支持绑定域名数少 支持绑定域名数多 无保险费用 有保险费用 一年需要更换 两年或三年 可选颁发机构少 更多的颁发机构 证书免费申请的几个大平台 阿里云 腾讯云 ...
服务器(五).nginx3.https关于ssl证书申请
yiguang_820的博客
04-26 2263
目录: 使用FreeSSL首页 - FreeSSL.cn一个提供免费HTTPS证书申请的网站申请免费https证书 详细步骤:五步很快 注意:在云服务器安全组中新增开启443端口 一.详细步骤: 第一步: 第二步: 第三步: 将如上配置添加到域名的解析记录中(本人在阿里云买的域名,在阿里云产品中的域名管理下) 第四步:前提是安装acme.sh,安装教程在 本人运行此命令过程: 第五步: 在nginx配置,重启即可 ...
Nginx https 配置步骤,免费证书申请
tooadmin的博客
01-07 1118
第一步:http://aq.chinaz.com/SSL/ 需要先注册登录站长工具 第二步:填写域名信息,(设置的密钥密码要记住,在第五步时需要用到) 第三步:选择手动文件FILE验证 第四步:确认申请后 在FTP创建的目录.well-known默认是隐藏的,所以可以先在本地建好目录结构文件在上传,或者直接在linux对项目的根目录命令创建.well-known/pki-validation/...
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-10 5753
概述 Nginx采用C进行编写,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
高级配置技巧:Nginx HTTPS转HTTP开启HSTS与X-Frame-Options
[高级配置技巧:Nginx HTTPS转HTTP开启HSTS与X-Frame-Options](https://static.wixstatic.com/media/c173bb_441016a42b3c46b095cdc3b16ae561e4~mv2.png/v1/fill/w_980,h_588,al_c,q_90,usm_0.66_1.00_0.01,enc_auto/...
微信小程序HTTPS性能调优:nginx配置技巧与安全指南
[微信小程序HTTPS性能调优:nginx配置技巧与安全指南](https://sslinsights.com/wp-content/uploads/2024/01/enable-http2-on-nginx-web-server.png) # 摘要 随着网络安全意识的提升,HTTPS协议的应用变得至关重要...
微信小程序HTTPS安全必修课:nginx配置全攻略与优化秘籍
本文首先概述HTTPS与微信小程序安全性,随后详细介绍了nginx服务器的基本配置与安装,重点阐述了如何在nginx配置HTTPS以及SSL证书,以确保微信小程序的安全通信。接着,文章深入探讨nginx的高级配置与性能优化,...
Nginx免费证书申请构建Https域名
laker的博客
12-02 2385
免费证书申请构建Https域名 整理免费证书获取途径如下: Let’s Encrypt是终身免费使用的,但是需要每3个月就申请一次; 支持泛域名 首先是进入该网站:https://letsencrypt.org/,注册账户;登录地址是这个:https://letsencrypt.osfipin.com/。 阿里云的免费域名,仅支持单域名,免费期限一年,到期再重新申请; 同理百度云、华为云、腾讯云等都类似 网址:https://www.aliyun.com/product/cas ohttps.
Nginx 配置 https 访问:SSL 免费证书申请并自动更新(完整命令篇)
03-20 1925
阿里云 SSL 免费证书有效期从以前的一年调整为三个月,使用起来比较麻烦。 本文记录了在 CentOS 7.9 如何使用 acme.sh 完成免费证书申请以及自动更新过程,再也不必为 SSL 证书过期而烦恼了。
https免费证书申请nginx / docker 安装部署证书
tuonioooo
10-09 761
https协议是由SSL+http协议构建的安全协议,支持加密传输身份认证, 安全性比http要更好,因为数据的加密传输,更能保证数据的安全性完整性。所有注册的免费域名证书基本上都是一年时间,过期后需要自动续期,免费证书与付费证书的基本区别。
网站Nginx服务安装https免费证书配置一条龙流程
Esc80的专栏
12-27 1871
Let’s Encrypt 安装https免费证书配置1.http 是一个传输网页内容的协议,比如你看到的 http 开头的网站CSS 、 JS 等文件都是通过 http 协议传输到我们的浏览器,然后被我们看到。而 https 可以理解为“ HTTP over SSL/TLS ”,好端端的 http 为什么需要“ over SSL/TLS ”呢,因为 http 是明文传输的,通过http 协议传输的内容很容易被偷看篡改,为了安全(你肯定不想被人偷看或者篡改网页内容吧,比如网站银行密码什么的。
nginx访问控制用户认证https
itxiaoyu_lang的博客
06-27 159
访问控制 可以用在http, server, location, limit_except allow:设定允许哪台或哪些主机访问,多个参数间用空格隔开 deny:设定禁止哪台或哪些主机访问,多个参数间用空格隔开 实例 拒绝访问192.168.147.66访问 [root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf location /test { deny 192.168.147.66;
nginx配置免费https证书教程
最新发布
who_im_i的博客
08-11 912
在当今互联网环境下,HTTPS已成为网站安全的标配,它通过SSL/TLS协议为网站数据传输提供加密,保障用户信息的安全。申请并部署免费SSL证书,不仅能够提升网站的专业形象,还能增强用户信任。本文将详细介绍如何在知名免费SSL证书提供商ohttps申请免费SSL证书,并指导如何在Nginx上安装使用证书
nginx针对客户端ip进行限制:外网访问需要密码认证
moguibeijing的专栏
10-10 2901
nginx访问限制:限制客户端ip及需要用户名密码认证 nginx访问需要用户名密码认证 nginx限制客户端ip访问 nginx同时限制客户端ip与用户名密码认证 一、nginx访问需要用户名密码认证 nginx访问需要用户名密码认证使用的模块是ngx_http_auth_basic_module,这个模块允许使用"HTTP基本验证"协议进行用户名密码验证来限制资源的访问,
centos7Nginx通过反向代理设置https配置多端口访问
weixin_43404791的博客
09-17 1619
Https server配置 96 # HTTPS server 97 98 server { 99 listen 80; 100 listen 443 ssl; 101 server_name www.lidengxxxx.top; 102 103 ssl_certificate cert/server.crt; 104 ssl_certificate_key cert/server.key; 105 106 ss
Nginx HTTPS证书) 部署实战
Lzcsfg的博客
06-21 6300
要搭建https服务首先需有SSL证书证书通常是在第三方申请,在阿~云的安全服务中有SSL证书这一项,可以在里面申请免费证书。也可以在自己电脑中生成,虽然也能完成加密,但是浏览器是不认可的,因此最好还是去第三方申请
使用openssl+nginx配置自签发HTTPS证书实战
配置nginx服务器以使用新生成的服务器证书私钥。在nginx配置文件中,将证书路径私钥路径指向server.crtserver-key.pem,启用HTTPS监听,并确保正确配置了其他安全设置,如HSTS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值