探索Nginx实现自签名SSL证书生成与配置-CSDN博客

探索Nginx实现自签名SSL证书生成与配置

已于 2024-05-12 19:20:39 修改
阅读量688 收藏 28
点赞数 26
文章标签: ssl 网络协议 网络
于 2024-05-11 13:37:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzzxxx520369/article/details/138709101
版权

目录

一、为什么要使用 SSL 证书?

二、Nginx实现自签名SSL证书生成与配置

2.1名词介绍

2.2生成私钥

2.3生成公钥

2.4生成解密的私钥key 

2.5签名生成证书

2.6配置证书并验证

2.7报错分析

三、https证书认证访问流程

3.1https单向认证的访问流程

3.2https双向认证的访问流程

一、为什么要使用 SSL 证书?

HTTP协议无法加密数据,数据传输可能产生泄露、篡改或钓鱼攻击等问题,而启用HTTPS后,可帮助Web服务器和网站间建立可信的HTTPS协议加密链接,为网站安全加锁,保证数据安全传输。

二、Nginx实现自签名SSL证书生成与配置

2.1名词介绍

①key 私钥  = 明文--自己生成(genrsa )

②csr 公钥  = 由私钥生成

③crt  证书  = 公钥 + 签名(自签名或者由CA签名)

④证书:server.crt文件就是证书

⑤签名:使用私钥key与公钥csr进行证书server.crt生成的过程称为签名

2.2生成私钥

cd ~
#回到root用户的家目录下
openssl genrsa -des3 -out server.key 1024
#使用ssl生成私钥名为 server.key

2.3生成公钥

openssl req -new -key server.key -out server.csr
#基于创建的server.key私钥创建server.csr公钥
openssl req -text -in server.csr -noout
#查看私钥加密的内容

2.4生成解密的私钥key 

openssl rsa -in server.key -out server.key.unsecure
#基于server.key私钥生成server.key.unsecure的解密私钥

2.5签名生成证书

签名方法1:方法1需要输入密码,私钥密码为123456
openssl  x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
#使用私钥和公钥生成server.crt签名证书,-days为365天 -in指定公钥,-signkey指定私钥,生成的前面证书为server.crt
签名方法2:
openssl x509 -req -days 365 -in server.csr -signkey server.key.unsecure -out server.crt
#使用解密私钥和公钥生成server.crt签名证书,-days为365天 -in指定公钥,-signkey指定解密后的私钥,生成的前面证书为server.crt
openssl -text -in server.crt -noout
#查看证书的内容,server.crt内容

报错了,请输入openssl x509 -text -in server.crt -noout就可以查寻了

2.6配置证书并验证

yum install epel-release -y 
yum install nginx -y
systemctl start nginx 
#安装额外源 并安装启动nginx
vim  /etc/nginx/nginx.conf
#编辑nginx主配置文件文件末尾添加内容如下
server {
    listen       443 ssl ;    
    server_name localhost ;
    ssl_certificate "/root/server.crt";
    ssl_certificate_key "/root/server.key.unsecure";
}
#创建一个新的server模块,注意要在http模块里面,listen表示监听端口,server_name写主机地址或localhost都可以,ssl_certificate是签名证书的路径,ssl_certificate_key是私钥的路径,本文私钥路径写了解密后的私钥,写加密时的私钥有报错
systemctl start nginx 
#重启nginx到浏览器上访问验证

2.7报错分析

报错信息为:nginx: [emerg] cannot load certificate key "/root/server.key": PEM_read_bio_Priv
或者ELinux is preventing nginx from getattr access on the file /root/server.crt. For complete SELinux messages run: sealert -l ac7969d7-cfd3-462b-a388-4953e13a3e32
#journalctl -xe查看的报错信息为selinux阻止nginx读取私钥但是关闭selinux依然是此报错
ssl_certificate_key "/root/server.key";
#配置文件中写私钥服务会报错,此配置即会报错
ssl_certificate_key "/root/server.key.unsecure";
#改为解密后的私钥路径重启服务即可

三、https证书认证访问流程

3.1https单向认证的访问流程

  1. 客户端发起连接:用户在浏览器中输入HTTPS网址,客户端(通常是浏览器)向服务器发起连接请求。

  2. 服务器返回证书:服务器收到连接请求后,会将自己的数字证书发送给客户端。证书包含了服务器的公钥、证书颁发机构(CA)的数字签名、有效期等信息。

  3. 客户端验证证书:客户端收到服务器的证书后,会验证证书的有效性。验证包括检查证书是否由受信任的证书颁发机构签发,证书是否在有效期内,以及证书中的域名是否与访问的域名匹配等。

  4. 客户端生成会话密钥:如果证书验证通过,客户端会生成一个随机的对称密钥(会话密钥)用于加密通信。

  5. 客户端用公钥加密会话密钥:客户端使用服务器的公钥(证书中包含的公钥)对会话密钥进行加密,然后发送给服务器。

  6. 服务器用私钥解密会话密钥:服务器收到客户端发送的加密的会话密钥后,使用自己的私钥(与证书中的公钥对应)进行解密。

  7. 建立安全连接:服务器和客户端现在都有了会话密钥,它们可以使用这个密钥来加密和解密通信内容,建立安全的加密连接。

  8. 安全通信:双方之间的通信现在是加密的,数据在传输过程中会被加密保护,确保安全性和隐私性。

通过这个过程,HTTPS证书认证确保了通信的安全性和数据的保密性,防止了中间人攻击和窃听等安全威胁。

3.2https双向认证的访问流程


0)服务端和客户端会事先通过CA签发服务端证书和私钥文件
1)客户端发送https请求到服务端的443端口
2)服务端会先返回一个包含公钥、证书有效期、CA机构等信息的证书给客户端
3)客户端收到服务端发来的证书后,会先用本地的CA证书校验服务端证书的有效性,如果证书有效,再将包含公钥的客户端证书发送给服务端
4)服务端收到客户端证书后也会校验证书的有效性,客户端还会发送自己可支持的对称加密方案给服务端
5)服务端会选择加密程度最高的方案,并通过客户端证书里的公钥加密后发送给客户端
6)客户端使用私钥解密获取选择的加密方案,并使用此加密方案生成随机会话密钥,再通过服务端证书中的公钥进行加密,再发送给服务端
7)服务端会用私钥进行解密获取客户端发来的随机会话密钥,并使用这个会话密钥加密要返回的报文,再发送给客户端
8)客户端也是这个会话密钥进行解密获取服务端返回的数据,之后双方可继续这个会话密钥进行加密和解密来实现密文通信
 

白开水~不加糖
关注
  • 26
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx配置SSL签名证书的方法
01-10
生成签名SSL证书 生成RSA密钥(过程需要设置一个密码,记住这个密码) $ openssl genrsa -des3 -out domain.key 1024 拷贝一个不需要输入密码的密钥文件 $ openssl rsa -in domain.key -out domain_nopass.key ...
Nginx生成一个自签名SSL证书脚本
11-18
Nginx生成一个自签名SSL证书脚本
使用docker部署nginx并支持https
左直拳的马桶_日用桶
06-02 2557
配置nginx支持https,其实也简单,搞个证书,然后修改下配置文件就好了。我以前一篇文章()为例,做个记录。如前所述,我使用docker,部署了3个nginx。一个做负载均衡服务器,另外两个做应用。结构如下:那么,支持https,也是在负载均衡这里进行设置。
我是如何使用docker安装nginx配置https服务的
Java升级之路的博客
12-14 5776
嗨,大家好,我是希留,一个被迫致力于全栈开发的老菜鸟。因为最近新学习了个uni-app的项目。想要运行成小程序,但微信小程序的接口都是需要https请求才能访问到。这一下就难住了,该怎么把我的接口服务配置成可以https访问呢?我的域名是腾讯云的域名,也已经备案好了的。正好可以申请免费的域名型(DV)SSL 证书,而且可以免费申请20个,够我用了。这篇文章就来介绍一下,我是怎么使用docker安装nginx配置https服务的。
docker安装nginx支持ssl 实现https访问(完整版)
最新发布
pingzhuyan的博客
05-04 925
> docker实用(安装/操作)专栏传送门 linux普通方式安装nginx并支持ssl
Docker部署nginx并启用https加密连接
qq_64612585的博客
05-03 1170
在当今互联网时代,安全性成为越来越重要的议题。随着网络攻击日益猖獗,保护数据和通信的安全性变得至关重要。在这种背景下,对于在 Docker 中运行 Nginx 是否需要使用 HTTPS 这一问题,我们需要考虑到网络安全的重要性以及 HTTPS 协议所提供的加密和认证功能。接下来,让我们深入探讨为什么在 Docker 中运行 Nginx 时使用 HTTPS 是至关重要的。
nginx配置https证书nginx-docker版本)
qq_44796093的博客
06-20 672
【代码】nginx配置https证书
Linux下Nginx安全证书ssl配置方法
01-20
分享下我是如何一步步在Nginx配置SSL的。首先,确保安装了OpenSSL库,并且安装Nginx时使用了–with-http_ssl_module参数。 初学者或者菜鸟建议使用LNMP进行一键安装。 生成证书:进入要生成证书的目录cd /usr/...
Linux Nginx 配置SSL访问实例详解
01-10
Linux Nginx 配置SSL访问实例详解 生成证书 可以通过以下步骤生成一个简单的证书: 首先,进入你想创建证书和私钥的目录,例如: $ cd /usr/local/nginx/conf 创建服务器私钥,命令会让你输入一个口令: $ ...
详解nginx使用ssl模块配置HTTPS支持
01-10
默认情况下ssl模块并未被安装,如果要使用该模块则需要在编译时指定–with-http_ssl_module参数,安装模块依赖于OpenSSL库和一些引用文件,通常这些文件并不...创建签名请求的证书(CSR): $ openssl req -new -key s
docker安装nginx配置通过https访问的方法
01-11
1. 下载最新的nginx的docker image $ docker pull nginx:latest 2. 启动nginx容器 运行如下命令来启动nginx container docker run --detach \ --name wx-nginx \ -p 443:443\ -p 80:80 \ -v /home/evan/workspace/wxserver/nginx/data:/usr/share/nginx/html:rw\ -v /home/evan/workspace/wxserver/nginx/config/ngin
为docker中的nginx配置https的方法步骤
01-11
没有 https 加持的网站会逐渐地被浏览器标记为不安全的,所以为网站添加 https 已经变得刻不容缓。对于商业网站来说,花钱购买 SSL/TLS 证书并不是什么问题。但对于个人用户来说,如果能有免费的 SSL/TLS 证书可用将会是非常幸福的事情!Let’s Encrypt 就是一个提供免费 SSL/TLS 证书的网站,由于其证书期限只有三个月,所以需要我们用自动化的方式去更新证书。本文将介绍如何为通过 docker 运行的 nginx 中的站点添加 https 支持,并自动完成证书的更新。本文的演示环境为:运行在 Azure 上的 Ubuntu 16.04 主机(此图来自互联网): 准
Docker部署Nginx,使用HTTPS+二级域名访问静态网站
pcdd 的博客
01-26 5330
就在nginx.conf中写server即可,一般是一个网站对应conf.d目录中的一个xxx.conf,这里我直接在default.conf中配置server,配置内容如下。重新创建nginx容器并挂载相关文件及目录,这一步是关键,一定要确认宿主机的相关目录或文件是否与nginx容器一一对应,这一步比较容易出错,不要忘记映射443端口,否则无法通过https访问。将这两个文件放在宿主机/root/nginx/ssl下即可,这里我放在ssl下又创建了一个目录,以域名命名,将上述的两个文件放入即此目录。
在docker的nginx配置https
KJ_Study的博客
06-02 1835
1、环境 我有一个springboot的web应用,在docker外面运行这。不会springboot的同学,可以脑补下,有一个tomcat应用程序在服务器里面跑着。web应用用的是80端口。 我现在准备使用nginx将我的http请求变成https。 我准备的ssl证书是阿里云申请的免费证书,我的域名是阿里云购买的,并且进行了备案。 我通过http://域名:80端口是可以访问我的web应用的(web应用可以运行)。 2、docker准备nginx 使用docker pull nginx:1.20.1,下
nginx配置https 基于docker容器运行
jyjczy1314的博客
04-07 2704
在docker中使用nginx配置ssl证书全过程,包括免费证书申请,创建,下载,部署等。 在docker容器中容易忽略443端口的映射,容器需要映射到宿主机。配置https需要使用443端口,需要在对外端口中开放443
nginx CA证书配置HTTPS
qq_40095973的博客
03-29 879
server {    listen 443;    server_name eee.top;    ssl on;    root /data/webroot/test;    index index.html index.htm;    ssl_certificate   cert/2.pem;    ssl_certificate_key  cert/244.key;    ssl_sess...
《Docker》阿里云服务器docker部署nginx配置https踩坑记录(完整)
Oliver尹的博客
12-11 3170
今天在为阿里云服务器续期的时候发现原来阿里云上面也可以申请免费的ssl证书,而博主平时玩耍的域名一直是http的方式访问的,于是,很自然的想搞一个证书,将http改为https;才有了本文这篇踩坑记录,耐心看完,你也许有所收获;
Docker基础(11)docker安装nginx配置https
wangleleb的博客
09-02 1438
1.nginx.conf配置文件 以下是Nginx配置文件详情 user nobody; worker_processes 4; worker_rlimit_nofile 65535; error_log logs/error.log notice; pid /var/run/nginx.pid; events { use epoll; worker_connections 4096; } http { incl
nginx生成ssl证书
09-12
要为Nginx生成SSL证书,可以按照以下步骤进行操作: 1. 首先,创建SSL证书私钥。使用以下命令生成私钥文件: ``` openssl genrsa -des3 -out blog.key 2048 ``` 2. 接下来,利用私钥生成一个不需要输入密码的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值