HTTPS
HTTPS概述
为什么需要使用HTTPS,因为HTTP不安全,当我们使用http网站时,会遭到劫持和篡改,如果采用https协议,那么数据在传输过程中是加密的,所以黑客无法窃取或者篡改数据报文信息,同时也避免网站传输时信息泄露。
那么我们在实现https时,需要了解ssl协议,但我们现在使用的更多的是TLS加密协议。
那么TLS是怎么保证明文消息被加密的呢?在OSI七层模型中,应用层是http协议,那么在应用层协议之下,我们的表示层,是ssl协议所发挥作用的一层,他通过(握手、交换秘钥、告警、加密)等方式,是应用层http协议没有感知的情况下做到了数据的安全加密
那么在数据进行加密与解密过程中,如何确定双方的身份,此时就需要有一个权威机构来验证双方身份,那么这个权威机构就是CA机构,那么CA机构又是如何颁发证书
我们首先需要申请证书,先去登记机构进行身份登记,我是谁,我是干嘛的,我想做什么,然后登记机构再通过CSR发给CA,CA中心通过后会生成一对公钥和私钥,公钥会在CA证书链中保存,公钥和私钥证书我们拿到后,会将其部署在WEB服务器上
1.当浏览器访问我们的https站点时,他回去请求我们的证书
2.Nginx这样的web服务器会将我们的公钥证书发给浏览器
3.浏览器会去验证我们的证书是否合法有效
4.CA机构会将过期的证书放置在CRL服务器,CRL服务的验证效率是非常差的,所以CA有推出了OCSP响应程序,OCSP响应程序可以查询指定的一个证书是否过去,所以浏览器可以直接查询OSCP响应程序,但OSCP响应程序性能还不是很高
5.Nginx会有一个OCSP的开关,当我们开启后,Nginx会主动上OCSP上查询,这样大量的客户端直接从Nginx获取证书是否有效
证书介绍
1.证书类型
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-F329687L-1577428901022)(C:\Users\oldboy\AppData\Roaming\Typora\typora-user-images\1577414485230.png)]
2.购买选择
保护一个域名 www.mumusir.com
保护五个域名 www.mumusir.com images.mumusir.com cdn.mumusir.com test.mumusir.com m.mumusir.com
通配符域名 *.mumusir.com
3.HTTPS注意事项
https不支持续费,证书到期需要重新申请并进行替换
https不支持三级域名解析,如 test.www.mumusir.com
https显示绿色,说明整个网站的url都是https的
https显示黄色,因为网站代码中包含http的不安全链接
https显示红色,那么证书是假的或者证书过期。
nginx 单台HTTPS
1.先搞一份证书
#创建存放证书的目录
[root@web01 ~]# mkdir /etc/nginx/ssl_key
[root@web01 ~]# cd /etc/nginx/ssl_key/
#创建证书
[root@web01 ssl_key]# openssl genrsa -idea -out server.key 2048
#密码随便输入
[root@web01 ssl_key]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
# req --> 用于创建新的证书
# new --> 表示创建的是新证书
# x509 --> 表示定义证书的格式为标准格式
# key --> 表示调用的私钥文件信息
# out --> 表示输出证书文件信息
# days --> 表示证书的有效期
2.配置证书语法
#启动ssl功能
Syntax: ssl on | off;
Default: ssl off;
Context: http,server
#证书文件
Syntax: ssl_certificate file;
Default: -
Context: http,server
#私钥文件
Syntax: ssl_certificate_key fil;
Default: -
Context: http,server
3.配置证书
[root@web01 ~]# vim /etc/nginx/conf.d/s.linux.com.conf
server {
listen 443 ssl;
server_name s.linux.com;
ssl_certificate /etc/nginx/ssl_key/server.crt;
ssl_certificate_key /etc/nginx/ssl_key/server.key;
location / {
root /code/https;
index index.html;
}
}
server {
listen 80;
server_name s.linux.com;
rewrite (.*) https://s.linux.com;
}
4.配置网站访问
[root@web01 ~]# mkdir /code/https
[root@web01 ~]# echo "test https server" > /code/https/index.html
#配置hosts再访问
实现全站HTTPS
1.搭建web网站
#正确的配置方法
[root@web01 ~]# vim /etc/nginx/conf.d/s.linux.com.conf
server {
listen 80;
server_name s.linux.com;
location / {
root /code/https;
index index.html;
}
}
########################错误的配置方法###############################
[root@web01 ~]# vim /etc/nginx/conf.d/s.linux.com.conf
server {
listen 443 ssl;
server_name s.linux.com;
ssl_certificate /etc/nginx/ssl_key/server.crt;
ssl_certificate_key /etc/nginx/ssl_key/server.key;
location / {
root /code/https;
index index.html;
}
}
2.配置负载均衡
[root@lb01 ~]# vim /etc/nginx/conf.d/s.linux.com.conf
upstream https {
server 172.16.1.7:80;
server 172.16.1.8:80;
}
server {
listen 443 ssl;
server_name s.linux.com;
ssl_certificate /etc/nginx/ssl_key/server.crt;
ssl_certificate_key /etc/nginx/ssl_key/server.key;
location / {
proxy_pass http://https;
proxy_set_header Host $http_host;
}
}
server {
listen 80;
server_name s.linux.com;
rewrite (.*) https://s.linux.com;
}
###########################错误配置方法######################
[root@lb01 nginx]# vim /etc/nginx/conf.d/s.linux.com.conf
upstream https {
server 172.16.1.7:443;
server 172.16.1.8:443;
}
server {
listen 443 ssl;
server_name s.linux.com;
ssl_certificate /etc/nginx/ssl_key/server.crt;
ssl_certificate_key /etc/nginx/ssl_key/server.key;
location / {
proxy_pass https://https;
proxy_set_header Host $http_host;
}
}
server {
listen 80;
server_name s.linux.com;
rewrite (.*) https://s.linux.com;
}
3.拷贝证书
[root@lb01 ~]# cd /etc/nginx
[root@lb01 nginx]# scp -r 172.16.1.7:/etc/nginx/ssl_key ./
真实场景配置全站HTTPS
1.配置博客和知乎的负载均衡
[root@lb01 nginx]# cat /etc/nginx/conf.d/upstream.conf
upstream upstream {
server 10.0.0.7:80;
server 10.0.0.8:80;
}
server {
listen 443 ssl;
server_name blog.linux.com zh.linux.com;
ssl_certificate /etc/nginx/ssl_key/server.crt;
ssl_certificate_key /etc/nginx/ssl_key/server.key;
location / {
proxy_pass http://upstream;
include proxy_params;
}
}
server {
listen 80;
server_name blog.linux.com;
return 302 https://$server_name$request_uri;
}
server {
listen 80;
server_name zh.linux.com;
return 302 https://$server_name$request_uri;
}
2.访问页面格式错乱
##################博客的配置####################
[root@web02 conf.d]# vim /etc/nginx/conf.d/blog.linux.com.conf
server {
listen 80;
server_name blog.linux.com;
location / {
root /code/wordpress;
index index.php;
}
location ~ \.php$ {
root /code/wordpress;
fastcgi_pass 127.0.0.1:9000;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
#告诉PHP我前置的负载使用的是https协议
fastcgi_param HTTPS on;
include fastcgi_params;
}
}
##################知乎的配置####################
server {
listen 80;
server_name zh.linux.com;
location / {
root /code/zh;
index index.php;
}
location ~ \.php$ {
root /code/zh;
fastcgi_pass 127.0.0.1:9000;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param HTTPS on;
include fastcgi_params;
}
}