本文深入解析Nginx SSL支持原理及证书生成流程,涵盖SSL基础概念、证书类型、证书验证过程、Nginx SSL配置与自签证书实践,以及通过命令行工具openssl生成SSL证书的步骤,旨在帮助开发者快速部署HTTPS服务。
在了解Nginx支持SSL认证前,先来看看SSL相关的基础概念。SSL是指安全套接字层,简而言之,它是一项标准技术,可确保互联网连接安全。TLS(传输层安全)是更为安全的升级版SSL。由于SSL这一术语更为常用,因此仍然将安全证书称作SSL。当您从DigiCert购买SSL时,您真正购买的是最新的TLS证书,证书有 ECC、RSA 或 DSA 三种加密方式可以选择。如果某个网站受SSL证书保护,其相应的URL中会显示HTTPS(超文本传输安全协议)。单击浏览器地址栏的挂锁图标,可查看证书详细信息,包括颁发机构和网站所有者的公司名称等。下图是访问google和baidu,查看网站签发的证书的相关信息。
在进行加密时分为对称加密和非对称加密,对称加密指加密和解密都使用同一个密钥,非对称加密指加密和解密使用不同的密钥,对于非对称加密,密钥分为公钥和私钥。一个用于加密密钥,一个用于解密密钥。公钥都是公开的,如何保证公钥不被篡改呢?这里就牵涉到证书签发机构,证书签发机构用自己的私钥对申请者的公钥进行加密,生成数字证书。当其他人想知道这个公钥是否被篡改,那么就可以用CA机构的公钥对数字证书进行解密,如果能解密成功,说明这个公钥是得到证书机构认证的,用这个公钥再去解密服务端发送过来的信息是可信的。关于证书、数字签名、加解密更详细的描述可查看这里。
证书分为三类,域名验证证书,组织验证证书,扩展验证证书,签发机构颁发证书时,会对合法性进行验证。域名证书验证最宽松,验证该域名确实是申请者的即可,扩展验证证书最严格。下面是三种不同的证书举例。
当访问某个网站时,查看操作系统,会看到证书链信息,证书链中分三层证书。如下图所示,一级根证书是DigCert Global Root CA,根证书变更频率小,例如操作系统window,Android等都会申请根证书,大部分浏览器一般会使用操作系统的证书作为根证书,但比如Firefox等可能会用自己签发的根证书。接下来是二级证书,二级证书后面是具体的域名证书。下面右图是抓包信息,当访问某个网站时都会发送二级证书和域名证书信息,因为一级证书已经内置
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
