Https是什么:
根据维基百科的解释:
超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。HTTPS不应与在RFC 2660中定义的安全超文本传输协议(S-HTTP)相混。
HTTPS 目前已经是所有注重隐私和安全的网站的首选,随着技术的不断发展,HTTPS 网站已不再是大型网站的专利,所有普通的个人站长和博客均可以自己动手搭建一个安全的加密的网站。
如果一个网站没有加密,那么你的所有帐号密码都是明文传输。可想而知,如果涉及到隐私和金融问题,不加密的传输是多么可怕的一件事。
本文通过linux生成证书,再在nginx配置来使网站支持https;
Linux下生成证书
$ openssl genrsa -des3 -out server.key 2048
1
#会有两次要求输入密码,输入同一个即可
#输入密码
#然后你就获得了一个server.key文件.
#以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令:
$ openssl rsa -in server.key -out server.key
#创建服务器证书的申请文件server.csr,运行:
$ openssl req -new -key server.key -out server.csr
#其中Country Name填CN,Common Name填主机名也可以不填,如果不填浏览器会认为不安全.(例如你以后的url为https://abcd/xxxx….这里就可以填abcd),其他的都可以不填.
#创建CA证书:
$ openssl req -new -x509 -key server.key -out ca.crt -days 3650
# 此时,你可以得到一个ca.crt的证书,这个证书用来给自己的证书签名.
# 创建自当前日期起有效期为期十年的服务器证书server.crt:
$ openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
# ls你的文件夹,可以看到一共生成了5个文件:
$ ls
ca.crt ca.srl server.crt server.csr server.key
#其中,server.crt和server.key就是你的nginx需要的证书文件.三、如何配置nginx
打开你的nginx配置文件,搜索443找到https的配置,去掉这段代码的注释.或者直接复制我下面的这段配置:
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /root/Lee/keys/server.crt;#配置证书位置
ssl_certificate_key /root/Lee/keys/server.key;#配置秘钥位置
#ssl_client_certificate ca.crt;#双向认证
#ssl_verify_client on; #双向认证
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
}
将ssl_certificate改为server.crt的路径,将ssl_certificate_key改为server.key的路径.
nginx -s reload 重载配置
至此,nginx的https就可以使用了,默认443端口.
如果出现报错信息:
nginx: [emerg] BIO_new_file(“/user/local/nginx/temp/server.crt”) failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/user/local/nginx/temp/server.crt’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)
把server.crt 和server.key 文件放在nginx/conf文件夹下。(和nginx.conf文件同一文件夹)
ssl_certificate server.crt;
ssl_certificate_key server.key;
其他参考:
1. https://www.cnblogs.com/chjbbs/p/5748369.html
本地生成,需提交第三方机构;
2. https://blog.csdn.net/u011348213/article/details/84809492
相关命令
3. https://www.cnblogs.com/isylar/p/10002117.html
这个不错
使用时会要求输入密码 : ./nginx -t
:: Enter PEM pass phrase
https://www.cnblogs.com/lizhihui/p/5254208.html
openssl rsa -in 1302am.com.key -out 1302am.com.key.unsecure