【技术博客】nginx服务器的https协议实现
在本学期软件工程的Alpha和Beta阶段,我们的服务器部署都是使用基础的http协议,http在网络路由间的信息转发都为明文,这对我们网站的账户密码登录来说很不安全,因此在Gamma阶段我们实现了https协议传输。
1.https证书申请
https简单地说就是http加了一层ssl加密层,加密证书在任何一台计算机上都可以生成,但是由任意第三方生成的证书毫无疑问是不可靠的。因此有了CA这样的证书管理机构,CA在网络通信的过程中可以被认为是完全可信的第三方,使用CA的ssl证书才可以取得客户端浏览器的信任。
首先安装cerbot(在ubuntu上使用apt安装即可),使用下面的命令可以执行cerbot认证:
certbot certonly
认证过程中会出现选择:
1: Spin up a temporary webserver (standalone)
2: Place files in webroot directory (webroot)
在cerbot中有上面两种认证方式,第一种需要停止服务器,cerbot将建立一个临时服务器进行验证域名对应的IP是否为本机,第二种则不需要停止服务器的服务,需要在指定位置创建文件来验证你对该IP计算机的控制权。我们使用了第一种验证方式,因为不需要修改nginx配置文件所以更简单。选择验证方式后根据提示一步步填写邮箱、同意协议即可。
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/you.domain.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/you.domain.com/privkey.pem
Your cert will expire on 2018-01-26. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
显示以上内容的时候表示本机的https证书已经申请成功,密钥的文件地址也在其中。可以使用下面的命令查看这台计算机上的证书:
certbot certificates
2.https证书配置
https证书需要加入nginx的配置种,一方面我们需要在nginx中指定私钥和公钥的文件地址,另一方面需要大幅修改端口设置,http下的nginx配置可以参考上一篇技术博客。需要注意的是http是约定使用80端口通信,而https约定使用443端口通信,所以我们需要将80端口的流量重定向至https的443端口,确保所有的流量都以https方式传输。
server {
charset utf-8;
listen 80;
server_name www.you.domain.com you.domain.com;
return 301 https://you.domain.com$request_uri;
}
server {
listen 443 default ssl;
server_name blogof33.com;
ssl_certificate /etc/letsencrypt/live/you.domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/you.domain.com/privkey.pem;
error_log /var/log/nginx/error.log;
location / {
alias xxxxx;
}
}
随后重启nginx服务,至此配置完成。