Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

作者:低调小一 时间:2021-06-26 12:42:36 

HTTPS简介
HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议。Https使用的默认端口是443。更多HTTPS原理可以参考阮一峰老师的文章:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html

SSL证书
证书类型简介
要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA)。CA验证证书请求及您的身份,然后将证书返回给您的安全服务器。
但是内网实现一个服务器端和客户端传输内容的加密,可以自己给自己颁发证书,只需要忽略掉浏览器不信任的警报即可!
由CA签署的证书为您的服务器提供两个重要的功能:

  1.     浏览器会自动识别证书并且在不提示用户的情况下允许创建一个安全连接。

  2.     当一个CA生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。

    多数支持ssl的web服务器都有一个CA列表,它们的证书会被自动接受。当一个浏览器遇到一个其授权CA并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接。

制作CA证书
ca.key CA私钥:

    openssl genrsa -des3 -out ca.key 2048  

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    ca.crt CA根证书(公钥):

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

制作网站的证书并用CA签名认证
这里,假设网站域名为www.example.com,生成com.example.com证书私钥:

 


 openssl genrsa -des3 -out www.example.com.pem 1024

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    制作解密后的www.example.com证书私钥:


 openssl rsa -in www.example.com.pem -out www.example.com.key

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    生成签名请求:


 openssl req -new -key www.example.com.pem -out www.example.com.csr

   

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    可以在Common Name中填入网站域名,即可生产该网站的证书。
用CA进行签名:

   

openssl ca -policy policy_anything -days 365 -cert ca.crt -keyfile ca.key -in www.example.com.csr -out www.example.com.crt 

可能执行签名时,会出现“I am unable to access the ./demoCA/newcerts directory”问题:

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

解决方法:


 mkdir -p demoCA/newcerts
 touch demoCA/index.txt
 touch demoCA/serial
 echo "01" > demoCA/serial

然后,再执行签名命令即可。

基于Nginx搭建HTTPS虚拟主机
虚拟主机配置文件


 upstream sslfpm {
   server 127.0.0.1:9000  weight=10  max_fails=3 fail_timeout=20s;
 }

server {  
   listen    192.168.1.*:443;  
   server_name 192.168.1.*;  

#为一个server开启ssl支持
   ssl         on;
   #为虚拟主机指定pem格式的证书文件
   ssl_certificate   /home/wangzhengyi/ssl/wangzhengyi.crt;  
   #为虚拟主机指定私钥文件
   ssl_certificate_key /home/wangzhengyi/ssl/wangzhengyi_nopass.key;  
   #客户端能够重复使用存储在缓存中的会话参数时间
   ssl_session_timeout 5m;
   #指定使用的ssl协议  
   ssl_protocols SSLv3 TLSv1;  
   #指定许可的密码描述
   ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;  
   #SSLv3和TLSv1协议的服务器密码需求优先级高于客户端密码
   ssl_prefer_server_ciphers  on;  

location / {  
     root  /home/wangzhengyi/ssl/;
     autoindex on;
       autoindex_exact_size  off;
       autoindex_localtime on;
   }  
     # redirect server error pages to the static page /50x.html
     #
     error_page  500 502 503 504 /50x.html;
     error_page  404 /404.html;

location = /50x.html {
       root  /usr/share/nginx/www;
     }
   location = /404.html {
       root  /usr/share/nginx/www;
     }

# proxy the PHP scripts to fpm
     location ~ \.php$ {
     access_log /var/log/nginx/ssl/ssl.access.log main;
     error_log /var/log/nginx/ssl/ssl.error.log;
     root /home/wangzhengyi/ssl/;  
     fastcgi_param  HTTPS  on;
       include /etc/nginx/fastcgi_params;  
       fastcgi_pass  sslfpm;
     }
 }

HTTPS服务器优化
方法
SSL操作需要消耗CPU资源,所以在多处理器的系统,需要启动多个工作进程,而且数量需要不少于可用CPU的个数。最消耗CPU资源的SSL操作是SSL握手,有两种方法可以将每个客户端的握手操作数量降到最低:

    保持客户端长连接,在一个SSL连接发送多个请求
    在并发的连接或者后续的连接中重用SSL会话参数,这样可以避免SSL握手操作。

会话缓存用于保存SSL会话,这些缓存在工作进程间共享,可以使用ssl_session_cache指令进行配置。1M缓存可以存放约4000个会话。默认的缓存超时时间是5m,可以使用ssl_session_timeout加大它。
ssl_session_cache指令

    语法:ssl_session_cache off|none|builtin:size|shared:name:size 
    使用环境:main,server 
    缓存类型: 
    off -- 硬关闭,nginx明确告诉客户端这个会话不可重用 
    none -- 软关闭,nginx告诉客户端会话能够被重用,但是nginx实际上不会重用它们 
    bultin -- openssl内置缓存,仅可用于一个工作进程.可能导致内存碎片 
    shared -- 所有工作进程的共享缓存。(1)缓存大小用字节数指定(2)每个缓存必须拥有自己的名称(3)同名的缓存可用于多个虚拟主机 

优化示例


 #优化ssl服务
 ssl_session_cache  shared:wzy:10m;  
 #客户端能够重复使用存储在缓存中的会话参数时间
 ssl_session_timeout 10m;

nginx强制使用https访问(http跳转到https)


基于nginx搭建了一个https访问的虚拟主机,监听的域名是test.com,但是很多用户不清楚https和http的区别,会很容易敲成http://test.com,这时会报出404错误,所以我需要做基于test.com域名的http向https的强制跳转

nginx的rewrite方法


思路
这应该是大家最容易想到的方法,将所有的http请求通过rewrite重写到https上即可

配置


 server {
   listen 192.168.1.111:80;
   server_name test.com;

rewrite ^(.*)$ https://$host$1 permanent;
 }


搭建此虚拟主机完成后,就可以将http://test.com的请求全部重写到https://test.com上了


nginx的497状态码


error code 497

497 - normal request was sent to HTTPS


解释:当此虚拟站点只允许https访问时,当用http访问时nginx会报出497错误码

思路
利用error_page命令将497状态码的链接重定向到https://test.com这个域名上

配置


 server {
   listen    192.168.1.11:443; #ssl端口
   listen    192.168.1.11:80;  #用户习惯用http访问,加上80,后面通过497状态码让它自动跳到443端口
   server_name test.com;
   #为一个server{......}开启ssl支持
   ssl         on;
   #指定PEM格式的证书文件  
   ssl_certificate   /etc/nginx/test.pem;  
   #指定PEM格式的私钥文件
   ssl_certificate_key /etc/nginx/test.key;

#让http请求重定向到https请求  
   error_page 497 https://$host$uri?$args;
 }

index.html刷新网页


思路
上述两种方法均会耗费服务器的资源,我们用curl访问baidu.com试一下,看百度的公司是如何实现baidu.com向www.baidu.com的跳转

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

可以看到百度很巧妙的利用meta的刷新作用,将baidu.com跳转到www.baidu.com.因此我们可以基于http://test.com的虚拟主机路径下也写一个index.html,内容就是http向https的跳转


index.html

<html>
 <meta http-equiv="refresh" content="0;url=https://test.com/">
 </html>

标签:Nginx,HTTPS
0
投稿

猜你喜欢

  • Jmeter并发执行Python 脚本的完整流程

    2021-05-12 02:52:49
  • JavaScript中的toDateString()方法使用详解

    2024-05-13 10:37:51
  • python实现自动抢课脚本的示例代码

    2022-03-12 08:16:19
  • 简单的分页代码js实现

    2024-04-25 13:10:29
  • Go实现各类限流的方法

    2024-04-27 15:39:47
  • python+Django+apache的配置方法详解

    2021-02-18 06:39:06
  • Python运行错误异常代码含义对照表

    2023-11-14 09:20:09
  • php strftime函数获取日期时间(switch用法)

    2023-06-11 13:26:33
  • python实现截取屏幕保存文件,删除N天前截图的例子

    2021-09-19 18:13:49
  • 正则表达式字面量在ECMAScript5中的变化

    2012-04-26 16:23:16
  • 网页特效文字之—粗糙字

    2013-07-23 04:34:56
  • Python实战之能监控文件变化的神器—看门狗

    2022-01-05 22:01:28
  • Python Subprocess模块原理及实例

    2022-09-29 04:37:20
  • 基于Python实现迪杰斯特拉和弗洛伊德算法

    2021-06-14 08:07:25
  • Python基于域相关实现图像增强的方法教程

    2023-08-24 15:30:22
  • Python(Tornado)模拟登录小米抢手机

    2021-09-03 16:15:03
  • css基础教程属性篇之二

    2008-07-25 19:23:00
  • C#操作SQLite数据库方法小结(创建,连接,插入,查询,删除等)

    2024-01-23 01:06:29
  • codeigniter发送邮件并打印调试信息的方法

    2024-05-13 09:57:03
  • 用css+js给网页背景插入flash播放器

    2007-10-21 09:27:00
  • asp之家 网络编程 m.aspxhome.com