https

这几天 快被https 搞死了

下面我总结几点比较重要的

 

 

为了方便快速  请使用  控制面板  ,快速推荐宝塔   

从一些域名处申请域名证书， 

域名认证+服务器备案 +ssl授权

 

安装环境 分好几种情况，有的是利用 lnmp  轻便捷，

lamp稳定  windows server

window就非常的简单， 从获取的直接安装就好

 同时要检查服务器端的防火墙是否开放443端口，这里为了测试方便，直接清空了iptables规则表  iptables -F

---

 

 

LNMP环境配置SSL

 

第一步：在nginx的conf目录下新建一个cert文件夹 将域名证书的两个文件上传到该文件夹下

 

第二步：修改nginx的虚拟主机配置如下

 

server {
listen 80; 
server_name www.domain.com;
rewrite ^(.*) https://$server_name$1 permanent; # 监听80端口 如果发现访问的是80端口 则进行url重写强制跳转到443端口
}

server { 
listen 443; 
server_name www.domain.com; 
ssl on; 
ssl_certificate cert/1_www.domain.com_bundle.crt; 
ssl_certificate_key cert/2_www.domain.com.key; # SSL证书私钥
ssl_session_timeout 5m; 
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; 
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
ssl_prefer_server_ciphers on; 

index index.php index.html index.htm; # 优先解析php文件

# 匹配后缀为php的文件
location ~ \.php?.*$ {  
        root           /usr/local/nginx/html; # 设置网站根目录
        fastcgi_pass   127.0.0.1:9000;  # 此处是配置过程中最大的坑 稍后说明
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME   $document_root/$fastcgi_script_name;  
        include        fastcgi_params;  
    }   
} 

 

 

先说说nginx解析php的原理：
nginx接收到客户端的请求后，会按配置文件中的规则进行匹配，发现后缀是.php文件，自己无法处理，就由fastcgi_pass 127.0.0.1:9000;这项配置交给fastcgi。要想让php处理这个文件，前提是php-fpm监听9000端口，才能接受nginx转发过来的请求并对其进行处理。fastcgi是一种进程管理器，管理cgi进程。市面上有多种实现了fastcgi功能的进程管理器，php-fpm就是其中的一种。再提一点，php-fpm作为一种fast-cgi进程管理服务，会监听端口，一般默认监听9000端口，并且是监听本机，也就是只接收来自本机的端口请求，所以我们通常输入命令 netstat -nlpt | grep php-fpm 会得到：
tcp 0 0 127.0.0.1:9000 0.0.0.0:* LISTEN 1057/php-fpm

也已通过这个命令查看9000端口是否被监听：lsof -i:9000

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
php-fpm 5807 root 8u IPv4 34723 0t0 TCP localhost:cslistener (LISTEN)
php-fpm 5808 www 0u IPv4 34723 0t0 TCP localhost:cslistener (LISTEN)
php-fpm 5809 www 0u IPv4 34723 0t0 TCP localhost:cslistener (LISTEN)
---------------------

注意：
1. 要在防火墙中打开443端口
2. fastcgi_pass为配置nginx与php-fpm的交互路径，一般有两种方式
sock方式：fastcgi_pass unix:/tmp/php-cgi.sock;
http方式：fastcgi_pass 127.0.0.1:9000;
任选其中一种即可，但必须和php-fpm的配置一致。
我安装的是LNMP一键安装包，默认nginx是http方式 而php-fpm是sock方式
因此可以修改php-fpm的配置文件如下
 

 

 

3. 如果没有正确配置，访问php文件会出现502 bad gateway的错误

第三步：重启nginx和php-fpm，再访问网站一切正常

service nginx restart
service php-fpm restart

---

 

LAMP环境配置SSL

ubuntu下apache配置https的具体步骤

这个比较麻烦：一下原因

安装Apache

install apache2

APACHE，配置比较分散

• 默认站点在 /var/www/
• 配置文件在 /etc/apache2/
• 日志在 /var/log/apache/
• 启动脚本是 /usr/bin/apache2ctl 或者 /etc/init.d/apache2

安装openssl

Ubuntu默认已经安装了OPENSSL，如果没安装，

$sudo apt-get install openssl

---

HTTPS原理

1， 客户端向服务器发送https请求；
2， 服务器上存储了一套数字证书，其实质为一对公私钥。数字证书可以自己制作，也可以向组织申请。前者在客户端访问时需要验证才能继续访问；后者不会弹出验证提示；
3， 服务器将公钥传输给客户端；
4，客户端验证公钥是否合法：无效（自己制作的）会弹出警告，有效的则生成一串随机数，用此随机数加密公钥；
5， 客户端将加密后的字符串传输给服务器 服务器收到字符串后，先使用私钥进行解密，获取加密使用的随机数，并以此随机数加密传输的数据（对称机密）；
6， 服务器将加密后的数据传输给客户端； 客户端收到数据后，使用自己的私钥（即随机字符串）进行解密。
7，服务器将加密后的数据传输给客户端；
8，客户端收到数据后，使用自己的私钥（即随机字符串）进行解密。

 

 说明：对称加密：将数据和私钥（随机字符串）通过某种算法混合在一起，除非知道私钥，否则无法解密。

 

生成SSL密钥对

创建私钥Key

 

[root@dl-001 ~]# cd /usr/local/nginx/conf

// 创建私钥key文件，必须输入密码，否则无法生成key文件
[root@localhost conf]# openssl genrsa -des3 -out tmp.key 2048
Generating RSA private key, 2048 bit long modulus
..............................+++
...............................................................+++
e is 65537 (0x10001)
Enter pass phrase for tmp.key:
Verifying - Enter pass phrase for tmp.key:

转换key，取消密码

[root@dl-001 conf]# openssl rsa -in tmp.key -out test.key
Enter pass phrase for tmp.key:
writing RSA key

[root@dl-001 conf]# rm -f tmp.key