Nginx-HTTPS

原理部分可以参考另外一篇文章:https://www.cnblogs.com/rtnb/p/15595317.html

nginx 的https 功能基于模块ngx_http_ssl_module实现,因此如果是编译安装的nginx要使用参数ngx_http_ssl_module开启ssl功能,但是作为nginx的核心功能,yum安装的nginx默认就是开启的,编译安装的nginx需要指定编译参数--with-http_ssl_module开启,官方文档: https://nginx.org/en/docs/http/ngx_http_ssl_module.html,配置参数如下:

复制代码
ssl on | off; 
#为指定的虚拟主机配置是否启用ssl功能,此功能在1.15.0废弃,使用listen [ssl]替代

ssl_certificate /path/to/file;
#当前虚拟主机使用使用的公钥文件,一般是crt文件

ssl_certificate_key /path/to/file;
#当前虚拟主机使用的私钥文件,一般是key文件

ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];
#支持ssl协议版本,早期为ssl,现在是TSL,默认为后三个

ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
#配置ssl缓存
off: 关闭缓存
none: 通知客户端支持ssl session cache,但实际不支持
builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有
[shared:name:size]:在各worker之间使用一个共享的缓存,需要定义一个缓存名称和缓存空间大小,一兆可以存储4000个会话信息,多个虚拟主机可以使用相同的缓存名称

ssl_session_timeout time;#客户端连接可以复用ssl session cache中缓存的有效时长,默认5m
复制代码

自签名 证书

复制代码
自签名CA证书
openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 3650 -out ca.crt #自签名CA证书

自制key和csr文件
openssl req -newkey rsa:4096 -nodes -sha256 -keyout www.magedu.net.key   -out www.magedu.net.csr

签发证书
openssl x509 -req -days 3650 -in www.magedu.net.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out www.magedu.net.crt

验证证书内容
openssl x509 -in www.magedu.net.crt -noout -text
复制代码

文件配置

复制代码
server {
        listen       443 ssl;
        server_name  mobile.magedu.com;

        ssl_certificate      /usr/local/nginx/mobile.magedu.com.crt;
        ssl_certificate_key  /usr/local/nginx/mobile.magedu.com.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location /about {
            root   /data/nginx/html/mobile/;
            index  index.html index.htm;
        }
    }
复制代码

测试访问

 

posted @   不会跳舞的胖子  阅读(133)  评论(0编辑  收藏  举报
努力加载评论中...
点击右上角即可分享
微信分享提示