欢迎您的光临,本博所发布之文章皆为作者亲测通过,如有错误,欢迎通过各种方式指正。

文摘  Windows下生成自签名证书Nginx配置SSL实现Https访问

其他 网络 997 0评论

首先要说明为什么要实现https?


HTTP全名超文本传输协议,客户端据此获取服务器上的超文本内容。超文本内容则以HTML为主,客户端拿到HTML内容后可根据规范进行解析呈现。因此,HTTP主要负责的是“内容的请求和获取”。问题就出在这部分。行监控、劫持、阻挡等行为很容易导致网站泄密,一些关键参数比如登录密码开发者会在客户端进行MD5加密,不过互联网所承载的机密信息远不只是密码,搜索内容同样属于敏感信息。现如今,百度、谷歌、Github等网站已经全站启用https,https就像是给网站上了一个“锁”,HTTPS做的就是给请求加密,让其对用户更加安全。对于自身而言除了保障用户利益外,还可避免本属于自己的流量被挟持,以保护自身利益。所以在我看来,终有一天HTTPS会实现全网普及。


说明:此教程适合已经配置好WNMP环境,并配置Virtualhost实现多站点的同学。如果您尚未配置,请参照我之前的文章进行配置。


实现Https首先需要向管理机构申请证书,而我们此次由于是练习目的,所以通过Openssl自己生成证书。首先我们需要用到生成证书的Openssl软件。


步骤:


1. 安装Openssl

下载地址:http://slproweb.com/products/Win32OpenSSL.html   (根据系统选择32位或者64位版本下载安装)。

下载完成后,进行安装,我安装在了 C:\wnmp\OpenSSL-Win64文件夹中。


2. 安装ActivePerl (此软件目的为了解析pl文件,部分系统不安装也可以实现本教程的功能,安装该软件目的为了学习perl)。

下载地址:http://www.activestate.com/activeperl/downloads/    (根据系统选择win32或者win64版本下载安装)。


3. 配置环境变量

在环境变量中添加环境变量

变量名: OPENSSL_HOME       变量值:C:\wnmp\OpenSSL-Win64\bin;      (变量值为openssl安装位置)

在path变量结尾添加如下 : %OPENSSL_HOME%;


4. 生成证书 

1) 首先在 nginx安装目录中创建ssl文件夹用于存放证书。比如我的文件目录为 C:\wnmp\nginx\ssl

以管理员身份进入命令行模式,进入ssl文件夹。 命令为: cd  c:/wnmp/nginx/ssl


2) 创建私钥

在命令行中执行命令: openssl genrsa -des3 -out lee.key 1024     (lee文件名可以自定义),

命令说明
genrsa生成rsa秘钥对
-des3参数,使用des3对称加密算法,加密公钥和私钥
-out server.key 2048输出公钥和私钥对到同级目录下的server.key文件,私钥的长度为2048位

如下图所示:

111.png

输入密码后,再次重复输入确认密码。记住此密码,后面会用到。


3)创建csr证书

在命令行中执行命令:  openssl req -new -key lee.key -out lee.csr    

命令说明
req创建证书申请文件命令
-new参数,新建一个申请
-key server.key使用server.key作为证书的秘钥对
-out server.csr把申请文件输出到server.csr文件中

(key文件为刚才生成的文件,lee为自定义文件名)

222.jpg

如上图所示,执行上述命令后,需要输入信息。输入的信息中最重要的为 Common Name,这里输入的域名即为我们要使用https访问的域名。


以上步骤完成后,ssl文件夹内出现两个文件:

333.png


4)去除密码。

在加载SSL支持的Nginx并使用上述私钥时除去必须的口令,否则会在启动nginx的时候需要输入密码。

复制lee.key并重命名为lee.key.org 

可以使用此命令行,也可以使用鼠标操作     copy lee.key lee.key.org

去除口令,在命令行中执行此命令:  openssl rsa -in lee.key.org -out lee.key  (lee为自定义文件名)


如下图所示,此命令需要输入刚才设置的密码。

555.png


5)生成crt证书

在命令行中执行此命令: openssl x509 -req -days 365 -in lee.csr -signkey lee.key -out lee.crt  (lee为自定义文件名)

命令说明
x509对证书签名命令
-req表示输入文件为csr文件
-days 365证书的有效期为365天
-signkey server_no_passwd.key使用这个秘钥对进行签名
-out server.crt把这个证书生成到server.crt文件中

666.jpg

证书生成完毕,ssl文件夹中一共生成如下4个文件,我们需要使用到的是lee.crt和lee.key。

777.png


5. 修改nginx.conf文件

nginx.conf文件位于:C:\wnmp\nginx\conf


找到该文件中如下代码的位置进行修改:

# HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;
    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;
    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;
    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;
    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


修改为:


# HTTPS server
    #
#modify by lee 20160907 for https -s 
    server {
        listen       443 ssl;
        server_name    www.lee.com;
    
        ssl_certificate      C:/wnmp/nginx/ssl/lee.crt;
        ssl_certificate_key  C:/wnmp/nginx/ssl/lee.key;
    
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
    
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
    
        location / {
            root   C:/wnmp/lee;
            index  index.html index.htm index.php;
        }
               root           C:/wnmp/lee;
               fastcgi_pass   127.0.0.1:9001;
               fastcgi_index  index.php;
               fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
               include        fastcgi_params;
        }
    }
#modify by lee 20160907 for https -s


重启nginx。


在浏览器中,访问 https://www.lee.com。发现出现证书认证,并能够成功访问。(www.lee.com为生成证书时,Common Name输入的域名)

(执行此步骤时,需要配置好Virtual Host,并且在www.lee.com开放目录中添加了index.php默认入口访问文件。)

888.jpg

上面的https被红色划线是因为我们使用的是自己生成的证书,此证书不受浏览器信任,如果想使其变为绿色,则需要向证书管理机构进行申请。


6. 添加重定向,自动跳转使用https。


在nginx.conf中virtual host中如下代码位置添加一行代码:

listen   80;

server_name   www.lee.com;

#modify by lee 20160907 for https Redirect -s

rewrite ^(.*) https://$server_name$1 permanent;

#modify by lee 20160907 for https Redirect -e


重启nginx。


访问www.lee.com,会发现浏览器自动跳转到https://www.lee.com,并能够成功访问。


但是chrome会提示网站不安全

点击“不安全”,会提示“证书不受信任”


这时,可以去免费的证书申请网站上申请证书来解决这个问题


7.证书网站生成新证书


免费 HTTPS 证书申请网站:

* https://freessl.cn/?    (有效期更长) 

* https://certmall.trustauth.cn/Free/index.html 


以第一个为例。


第一步 通过 CSR 进行创建

从上一节生成的 certificate.csr,读取其内容并粘贴到下面的文本框:

命令:sudo vim certificate.csr

111.jpg


第二步 DNS验证

这里要去你的域名提供商处,配置DNS规则,来证明你对该域名拥有所有权。

222.jpg


根据上面的信息,新增(或者修改已经存在的相同规则)如下:

333.jpg


** 这里是阿里云里面配置DNS的一个示例


配置完成之后,点击第一张图片里面的“配置完成,检测一下”:


** 如果检测结果为 匹配,则可以再点击第一张图片里面的“点击验证”


在线证书验证:https://myssl.com/ ; https://www.ssllabs.com/ssltest/index.html 


第三步 下载证书

666.jpg


第四步 上传新证书

证书下载之后解压,得到 full_chain.pem

** https://certmall.trustauth.cn/Free/index.html   用这个生成得到的是 certificate.crt

将 full_chain.pem 上传至自己的服务器(也可以在服务器上新建一个相同的文件,然后把内容复制上去)


配置 nginx


第一步 配置 nginx.conf

首先进入 nginx 配置目录,执行:sudo vim nginx.conf

在 http 中新增配置如下:

server {
        listen  443 ssl;
        server_name  www.amwalle.com;
 
        ssl_certificate      full_chain.pem;
        ssl_certificate_key  certificate.key;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
 
        location /index {
                proxy_pass  http://127.0.0.1:7001/index;
            }
 
        location /test {
                proxy_pass  http://127.0.0.1:7001/test;
            }
        }

** 其中,full_chain.pem 是上一节生成的,certificate.key 是第二节生成的


第二步 检查配置

进入 nginx 所在目录,执行:sudo ./nginx -t

[centos@ip sbin]$ sudo ./nginx -t
nginx: the configuration file /opt/openresty/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /opt/openresty/nginx/conf/nginx.conf test is successful


第三步 重新加载 nginx

在 nginx 目录下,执行:sudo ./nginx -s reload


参考网址:

https://www.jianshu.com/p/d8a8e64be1f5

https://blog.csdn.net/weixin_42534940/article/details/90745452 


原文地址:https://www.cnblogs.com/vincent-li666/p/5851463.html

转载请注明: ITTXX.CN--分享互联网 » Windows下生成自签名证书Nginx配置SSL实现Https访问

最后更新:2020-04-28 12:30:25

赞 (2) or 分享 ()
游客 发表我的评论   换个身份
取消评论

表情
(0)个小伙伴在吐槽