NGINX之——配置HTTPS加密反向代理訪问–自签CA

2021-07-02 06:06

阅读:487

转载请注明出处:http://blog.csdn.net/l1028386804/article/details/46695495

出于公司内部訪问考虑,採用的CA是本机Openssl自签名生成的,因此无法通过互联网工信Root CA验证,所以会出现该站点不受信任或安全证书无效的提示。直接跳过,直接訪问就可以!

HTTPS的原理和訪问过程:

server必要条件

一个server私钥 KEY文件

一张与server域名匹配的CA证书(公钥,依据私钥key生成)

訪问过程:

1,client浏览器通过https协议訪问server的443port,并获得server的证书(公钥);client浏览器这时候会去找一些互联网可信的RootCA(权威证书颁发机构)验证当前获取到的证书是否合法有效,PS:这些RootCA是随操作系统一起预设安装在了系统里面的;

2,假设RootCA验证通过,表示该证书是可信的,而且若证书中标注的server名称与当前訪问的serverURL地址一致,就会直接使用该证书中包括的公钥解密server通过自己的KEY(私钥)加密后传输过来的网页内容,从而正常显示页面内容;

3,假设RootCA验证不通过。说明该证书是未获得合法的RootCA签名和授权,因此也就无法证明当前所訪问的server的权威性,client浏览器这时候就会显示一个警告。提示用户当前訪问的server身份无法得到验证,询问用户是否继续浏览!(通常自签名的CA证书就是这样的情况)技术分享

这里须要注意。验证CA的有效性。仅仅是证明当前server的身份是否合法有效。是否具有公信力以及身份唯一性,防止其它人仿冒该站点。但并不会影响到网页的加密功能,虽然CA证书无法得到权威证明。可是它所包括的公钥和server上用于加密页面的私钥依旧是匹配的一对,所以server用自己的私钥加密的网页内容,client浏览器依旧是能够用这张证书来解密,正常显示网页内容,所以当用户点击“继续浏览此站点(不推荐)”时。网页就能够打开了。

自签名CA证书生成

1、 用Openssl随机生成server密钥,和证书申请文件CSR

技术分享

2、自己给自己签发证书

#opensslx509 -req -days 3650 -in moonfly.net.csr -signkeymoonfly.net.key -outmoonfly.net.crt 

-days 3650    证书的有效期,自己给自己颁发证书,想有多久有效期,就弄多久,我一下弄了10年的有效期;

-inmoonfly.net.csr指定CSR文件

-signkeymoonfly.net.key指定server的私钥key文件

-outmoonfly.net.crt  设置生成好的证书文件名称

一条命令,自己给自己压钢印的身份证 moonfly.net.crt 就诞生了!

注:事实上严格来讲,这里生成的仅仅是一张RootCA,并非严格意义上的server证书ServerCA,真正的ServerCA是须要利用这张RootCA再给server签署办法出来的证书才算;只是我们这里仅仅讲怎样实现网页的SSL加密。所以就直接使用RootCA了。也是能正常实现加密功能的。

NGINX配置启用HTTPS并配置加密反向代理

技术分享

配置文件改动完成后,用nginx -t 測试下配置无误,就reload一下nginx服务。检查443port是否在监听:

技术分享

配置完成,https已经在工作了,如今能够通过https訪问站点了


评论


亲,登录后才可以留言!