首页 > Web开发 > 详细

23.https证书及跳转

时间:2020-06-20 23:00:20      阅读:112      评论:0      收藏:0      [点我收藏+]

回顾端口

ssh:22
telnet:23
ftp:21
dns:53
rsync:873
http:80
mysql:3306
redis:6379
php:9000
tomcat:8080
---------------
https:443

HTTPS 介绍

1.什么是HTTPS?

# HTTP:超文本传输协议(不安全)

# HTTPS:加密传输协议(安全)

为什么需要使用HTTPS,因为HTTP不安全,当我们使用http网站时,会遭到劫持和篡改,如果采用https协议,那么数据在传输过程中是加密的,所以黑客无法窃取或者篡改数据报文信息,同时也避免网站传输时信息泄露。

那么我们在实现https时,需要了解ssl协议,但我们现在使用的更多的是TLS加密协议。

那么TLS是怎么保证明文消息被加密的呢?在OSI七层模型中,应用层是http协议,那么在应用层协议之下,我们的表示层,是ssl协议所发挥作用的一层,他通过(握手、交换秘钥、告警、加密)等方式,是应用层http协议没有感知的情况下做到了数据的安全加密

技术分享图片

那么在数据进行加密与解密过程中,如何确定双方的身份,此时就需要有一个权威机构来验证双方身份,那么这个权威机构就是CA机构,那么CA机构又是如何颁发证书

技术分享图片

我们首先需要申请证书,先去登记机构进行身份登记,我是谁,我是干嘛的,我想做什么,然后登记机构再通过CSR发给CA,CA中心通过后会生成一堆公钥和私钥,公钥会在CA证书链中保存,公钥和私钥证书我们拿到后,会将其部署在WEB服务器上

1.当浏览器访问我们的https站点时,他回去请求我们的证书

2.Nginx这样的web服务器会将我们的公钥证书发给浏览器

3.浏览器会去验证我们的证书是否合法有效

4.CA机构会将过期的证书放置在CRL服务器,CRL服务的验证效率是非常差的,所以CA有推出了OCSP响应程序,OCSP响应程序可以查询指定的一个证书是否过去,所以浏览器可以直接查询OSCP响应程序,但OSCP响应程序性能还不是很高

5.Nginx会有一个OCSP的开关,当我们开启后,Nginx会主动上OCSP上查询,这样大量的客户端直接从Nginx获取证书是否有效

2.为什么使用HTTPS?

安全,数据是加密传输的,如果数据不加密,网站容易被篡改

篡改

## 模仿篡改
[root@web01 /code/dist]# vim /etc/nginx/conf.d/dist.conf 

server {
        listen 80;
        server_name xxx.com;
        location / {
        root /code/dist;
        index index.html;
         charset utf-8;
        }
}

[root@web01 ~]# mkdir -p /code/dist

# 2.写页面
[root@web01 ~]# vim /code/dist/index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>我是title</title>
</head>
<body>
<article>
  <header>
    <h1>我是Article</h1>
    <p>创建时间:<time pubdate="pubdate">2020/6/3</time></p>
  </header>
  <p>
    <b>Aticle</b>第一次用h5写文章,好他*的紧张...
  </p>
  <footer>
    <p><small>网警版权所有!</small></p>
  </footer>
</article>
</body>
</html>

查看

技术分享图片

篡改

[root@web02 conf.d]# vim jiechi_test.conf
upstream jiechi {
        server 10.0.0.7:80;
}

server {
        listen 80;
        server_name xxx.com;

        location / {
                proxy_pass http://jiechi;
                proxy_set_header Host $http_host;
                sub_filter ‘ <h1>我是Article‘ ‘ <h1>澳门首家线上赌场‘;
                sub_filter ‘<b>Aticle</b>第一次用h5写文章,好他*的紧张...‘ ‘<img src="https://blog.driverzeng.com/zenglaoshi/xingganheguan.gif">‘;
                sub_filter ‘<small>网警版权所有‘ ‘ <small>我是网警大哥‘;
        }
}

浏览网站

技术分享图片

3.如何使用HTTPS?

证书类型

对比 域名型 DV 企业型 OV 增强型 EV
绿色地址栏 技术分享图片小锁标记+https 技术分享图片小锁标记+https 技术分享图片小锁标记+企业名称+https
一般用途 个人站点和应用; 简单的https加密需求 电子商务站点和应用; 中小型企业站点 大型金融平台; 大型企业和政府机构站点
审核内容 域名所有权验证 全面的企业身份验证; 域名所有权验证 最高等级的企业身份验证; 域名所有权验证
颁发时长 10分钟-24小时 3-5个工作日 5-7个工作日
单次申请年限 1年 1-2年 1-2年
赔付保障金 —— 125-175万美金 150-175万美金

证书选择

1.单域名

2.多域名

3.通配符


注意事项

1.https不支持续费,证书到期需要重新申请并进行替换

2.https不支持三级域名,例如:test.m.driverzeng.com


https状态

1.绿色状态:网站是安全的

2.黄色状态:代码中,带有http的不安链接

3.红色状态:网站内部有其它不安全连接


Nginx 单台实现HTTPS

1.环境准备

#nginx必须有ssl模块
[root@web01 ~]# nginx -V
--with-http_ssl_module

#创建存放ssl证书的路径
[root@web01 ~]# mkdir -p /etc/nginx/ssl_key
[root@web01 ~]# cd /etc/nginx/ssl_key

2.创建证书

#####使用openssl命令充当CA权威机构创建证书(生产不使用此方式生成证书,不被互联网认可的黑户证书)
# 创建证书 密码1234
[root@web01 ssl_key]# openssl genrsa -idea -out /etc/nginx/ssl_key/`date +%Y%m%d`_aaa.com.key 2048

Generating RSA private key, 2048 bit long modulus
.....+++
........................................................................................................................+++
e is 65537 (0x10001)
Enter pass phrase for /etc/nginx/ssl_key/20200603_aaa.com.key:
Verifying - Enter pass phrase for /etc/nginx/ssl_key/20200603_aaa.com.key:

#查看
[root@web01 ssl_key]# ls
total 4
-rw-r--r-- 1 root root 1739 Jun  3 21:57 20200603_aaa.com.key

3.生成自签证书,同时去掉私钥的密码

[root@web01 ssl_key]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout /etc/nginx/ssl_key/20200603_aaa.com.key -out /etc/nginx/ssl_key/20200603_aaa.com.crt

Generating a 2048 bit RSA private key
..................................................................................................+++
...................................................................................................+++
writing new private key to ‘/etc/nginx/ssl_key/20200603_aaa.com.key‘
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
string is too long, it needs to be less than  2 bytes long
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:shanghai
Locality Name (eg, city) [Default City]:shanghai
Organization Name (eg, company) [Default Company Ltd]:shanghai
Organizational Unit Name (eg, section) []:shanghai
Common Name (eg, your name or your server‘s hostname) []:*.com
Email Address []:123@qq.com


# req  --> 用于创建新的证书
# new  --> 表示创建的是新证书    
# x509 --> 表示定义证书的格式为标准格式
# key  --> 表示调用的私钥文件信息
# out  --> 表示输出证书文件信息
# days --> 表示证书的有效期

配置证书

#启动ssl功能
Syntax:  ssl on | off;
Default: ssl off;
Context: http,server

#证书文件
Syntax:  ssl_certificate file;
Default: -
Context: http,server

#私钥文件
Syntax:  ssl_certificate_key fil;
Default: -
Context: http,server

修改nginx配置文件

[root@web03 conf.d]# cat ssl.conf 
#配置将用户访问http请求强制跳转https
server {
        listen 80;
        server_name aaa.com;
        return 302 https://$server_name$request_uri;
}

server {
        listen 443 ssl;
        server_name aaa.com;
        ssl_certificate   ssl_key/20200603_aaa.com.crt;
        ssl_certificate_key  ssl_key/20200603_aaa.com.key;
        location / {
                root /code;
                index index.html;
        }
}


# 检查语法并重启Nginx
[root@web03 conf.d]# nginx -t
[root@web03 conf.d]# nginx -s reload

ssl优化参数

server {
    listen 443 default_server;
    server_name blog.driverzeng.com driverzeng.com;
    ssl on;
    root /var/www/wordpress;
    index index.php index.html index.htm;
    ssl_certificate   ssl/215089466160853.pem;
    ssl_certificate_key  ssl/215089466160853.key;
    
    ssl_session_cache shared:SSL:10m; #在建立完ssl握手后如果断开连接,在session_timeout时间内再次连接,是不需要再次获取公钥建立握手的,可以服用之前的连接
    ssl_session_timeout 1440m;  #ssl连接断开后的超时时间
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;  #配置加密套接协议
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  #使用TLS版本协议
    ssl_prefer_server_ciphers on;  #nginx决定使用哪些协议与浏览器通信

23.https证书及跳转

原文:https://www.cnblogs.com/jkz1/p/13170748.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!