https

一世执手 提交于 2020-02-28 03:47:52

HTTPS基本概述

PKI

    数据保密性
    数据完整性
    身份认证及授权
    不可抵赖性

SSL

    安全套接层
    认证用户和服务器,确保数据发送到正确的客户机和服务器
    加密数据以防止数据中途被窃取
    维护数据的完整性,确保数据在传输过程中不被改变

HTTPS
使用SSL来实现安全的通信

证书

证书用于保证密钥的合法性
证书的主体可以是用户、计算机、服务等
证书格式遵循X.509标准

数字证书包含以下信息:

    使用者的公钥值
    使用者标识信息(如名称和电子邮件地址)
    有效期(证书的有效时间)
    颁发者标识信息
    颁发者数字签名

数字证书由权威公正的第三方机构即CA签发

 

配置HTTPS前预备知识

    专业版OV型证书 不显示企业名称
    高级版EV型证书 显示企业名称

HTTPS证书购买选择

    保护1个域名 www
    保护5个域名 www images cdn test m
    通配符域名 *.xiao.com

HTTPS注意事项

    HTTPS不支持三级域名解析
    HTTPS不支持续费,证书到期需重新申请进行替换
    HTTPS显示绿色,说明整个网站的URL都是https的
    HTTPS显示黄色,因为网站代码中包含http的不安全连接
    HTTPS显示红色,证书是假的或过期了

HTTPS证书申请

仅限在在虚拟机上,无法在公网中使用
在公有云中,这个步骤省略

配置苹果要求的证书

1.服务器所有连接使用TLS1.2以上版本(openssl 1.0.2)
2.HTTPS帧数必须使用SHA256以上哈希算法签名
3.HTTPS帧数必须使用RSA 2048位或者ECC256位以上公钥算法
4.使用前向加密技术

密钥生成操作步骤

1.生成key密钥
2.生成证书签名请求文件(csr文件)
3.生成证书签名文件(CA文件)

实验步骤

1.检查当前环境

//openssl必须是1.0.2
[root@web01 ~]# openssl version
OpenSSL 1.0.2k-fips  26 Jan 2017

//nginx必须有ssl模块
[root@web01 ~]# nginx -V
--with-http_ssl_module

//创建目录并进入
[root@web01 ~]# mkdir  -p /etc/nginx/ssl_key
[root@web01 ~]# cd /etc/nginx/ssl_key/

2.实验openssl充当CA权威机构创建私钥(生产不可能使用此方式生成证书,不被互联网CA权威承认的黑户证书)

[root@web01 ssl_key]# openssl genrsa -idea -out server.key 2048
Generating RSA private key, 2048 bit long modulus
...........................................................+++
......+++
e is 65537 (0x10001)
//记住配置密码,我这里是1234
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:

3.生成自签证书,同时去掉私钥的密码

[root@web01 ssl_key]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:CP
Organization Name (eg, company) [Default Company Ltd]:xiao
Organizational Unit Name (eg, section) []:edu
Common Name (eg, your name or your server's hostname) []:xiao
Email Address []:tf@qq.com

# req  -->用于创建新的证书
# new  -->表示创建的是新证书
# x509 -->表示定义证书的格式为标准格式
# key  -->表示调用的私钥文件信息
# out  -->表示输出证书文件信息
# days -->表示证书的有效期

 

HTTPS配置场景

1.HTTPS配置语法

1.15版本以上
server {
    listen              80;
    listen              443 ssl;
    server_name         www.example.com;
    ssl_certificate     www.example.com.crt;
    ssl_certificate_key www.example.com.key;
    ...
}

Syntax:    ssl_certificate file;
Default:    —
Context:    http, server

Syntax:    ssl_certificate_key file;
Default:    —
Context:    http, server

2.配置Nginx支持https实例

vim ssl.conf
server {
        listen 443 ssl;
        server_name http.xiao.com;
        ssl_certificate ssl_key/server.crt;
        ssl_certificate_key ssl_key/server.key;

        location / {
                root /code/https;
                index index.html;
        }
}

3.创建目录及页面文件

[root@web01 conf.d]# mkdir -p /code/https
[root@web01 conf.d]# echo http >/code/https/index.html

4.检查语法重启服务

nginx -t
systemctl restart nginx

5.修改host
6.验证https://http.xiao.com
7.http://http.xiao.com的跳转,在配置文件加上如下

server {
        listen 80;
        server_name http.xiao.com;
        #rewrite .* https://$server_name$request_uri redirect;
        #rewrite .* https://$host$request_uri redirect;
        rewrite (.*) https://$server_name$1 redirect;
}

8.http://xiao.com的跳转,在配置文件加上如下:

server {
        listen 80;
        server_name http.xiao.com;
        #rewrite .* https://http.xiao.com$request_uri redirect;
        #rewrite .* https://http.xiao.com$request_uri redirect;
        rewrite (.*) https://http.xiao.com$1 redirect;
}

 

通过LB实现HTTPS

1)环境准备

角色           外网IP(NAT)        内网IP(LAN)        服务
lb01             eth:10.0.1.5       172.16.1.5         nginx-proxy
web01          eth:10.0.1.7       172.16.1.7         nginx-web01
web02           eth:10.0.1.8       172.16.1.8         nginx-web02

2)先配置后端的所有web节点,如下操作,统一配置

//生成证书(仅生成一次即可,其他机器拷贝)
[root@web01 ~]# mkdir  -p /etc/nginx/ssl_key
[root@web01 ~]# cd /etc/nginx/ssl_key/
[root@web01 ssl_key]# openssl genrsa -idea -out server.key 2048
[root@web01 ssl_key]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt

//配置后端节点通过https方式访问,如果该节点不直接对用访问提供服务,则不需要启动http端口
vim ssl.conf
server {
        listen 443 ssl;
        server_name http.xiao.com;
        ssl_certificate ssl_key/server.crt;
        ssl_certificate_key ssl_key/server.key;

        location / {
                root /code/https;
                index index.html;
        }
}

3)配置第二台web节点

scp -rp /etc/nginx/ssl_key/ root@172.16.1.8:/etc/nginx/
scp -rp /etc/nginx/conf.d/ root@172.16.1.8:/etc/nginx/

4)重启两台后端web节点

systemc restart nginx

5)拷贝web上的ssl证书至proxy

scp -rp /etc/nginx/ssl_key/ root@172.16.1.5:/etc/nginx/

6)配置Nginx负载均衡调度

# 必须修改后端监听资源池为443端口
upstream site {
        server 172.16.1.7:443 max_fails=1 fail_timeout=60s;
        server 172.16.1.8:443 max_fails=1 fail_timeout=60s;
}
# 接受用户http请求跳转至https
server {
        listen 443 ssl;
        server_name http.xiao.com;
        ssl_certificate ssl_key/server.crt;
        ssl_certificate_key ssl_key/server.key;

        location / {
                proxy_pass https://site;
                include proxy_params;
        }
}
# 用户通过http请求跳转至https
server {
        listen 80;
        server_name http.xiao.com;
        return 302 https://$server_name/$request_uri;
}

7)重启proxy nginx

systemctl restart nginx

 

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!