watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=https实践 常用端口 ssh 22 telnet 23 ftp 21 rsync 873 http 80 mysql 3306 redis 6379 https 443 dns 53 php 9000 tomcat 8080 https介绍 什么是https? http是超文本传输协议。

https实践

常用端口

ssh 22
telnet 23
ftp 21
rsync 873
http 80
mysql 3306
redis 6379
https 443
dns 53
php 9000
tomcat 8080

https介绍

  1. 什么是https?

    http是超文本传输协议。(不安全)

    https是加密的传输协议。(数据加密传输更安全,不加密网站容易被篡改)

    当我们使用http网站时,会遭到劫持和篡改,如果采用https协议,那么数据在传输过程中是加密的,所以***无法窃取或者篡改数据报文信息,同时也避免网站传输时信息泄露。

  2. 如何使用https,配置

证书类型

  1. 单域名
  2. 多域名
  3. 通配域名

注意事项

  1. https证书不支持续费,到期之后需要重新申请。
  2. https不支持三级域名,如:test.gong.xxx.com

http三种颜色

  • 红色:网页中有不安全的链接http
  • 黄色:代码中包含http不安全的连接
  • 绿色:安全的链接

证书类型介绍

对比 域名型 DV 企业型 OV 增强型 EV
绿色地址栏 img小锁标记+https img小锁标记+https img小锁标记+企业名称+https
一般用途 个人站点和应用; 简单的https加密需求 电子商务站点和应用; 中小型企业站点 大型金融平台; 大型企业和政府机构站点
审核内容 域名所有权验证 全面的企业身份验证; 域名所有权验证 最高等级的企业身份验证; 域名所有权验证
颁发时长 10分钟-24小时 3-5个工作日 5-7个工作日
单次申请年限 1年 1-2年 1-2年
赔付保障金 —— 125-175万美金 150-175万美金

单台实现https

https的实现需要有ngx_http_ssl_module的支持,安装方法

This module is not built by default, it should be enabled with the --with-http_ssl_module configuration
# 使用nginx -V 可查看是否安装了这个模块。

语法格式.官方

    server {
     # 开启443端口
        listen              443 ssl;
# 证书的位置
        ssl_certificate     /usr/local/nginx/conf/cert.pem;
        ssl_certificate_key /usr/local/nginx/conf/cert.key;
    }

配置

# 1、创建放置证书的目录
[[email protected] ~]# mkdir /etc/nginx/ssl
# 使用openssl命令充当CA权威机构创建证书(生产不使用此方式生成证书,不被互联网认可的黑户证书)
[[email protected] /etc/nginx/ssl]# openssl genrsa -idea -out server.key 2048
Generating RSA private key, 2048 bit long modulus
........................................................................+++
......................+++
e is 65537 (0x10001)
# 输入一个密码最小4位,只是配置过程中用
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
[[email protected] /etc/nginx/ssl]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
Generating a 2048 bit RSA private key
.....................+++
...........................+++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:chongqing
Locality Name (eg, city) [Default City]:dazu
Organization Name (eg, company) [Default Company Ltd]:better
Organizational Unit Name (eg, section) []:yunxingweihubu
Common Name (eg, your name or your server's hostname) []:gong.com
Email Address []:[email protected]
# 这几步根据提示的做就好,在域名那里,老师说的是,要和绑定的域名的顶级域相同,实际在配置的过程中没有使用这个域名也能够成功访问
# req  --> 用于创建新的证书
# new  --> 表示创建的是新证书    
# x509 --> 表示定义证书的格式为标准格式
# key  --> 表示调用的私钥文件信息
# out  --> 表示输出证书文件信息
# days --> 表示证书的有效期
[[email protected] /etc/nginx/conf.d]# vi https.conf
server {
# 监听443端口
        listen 443 ssl;
        server_name www.shelldon.com;
# 防止证书和公钥的位置
        ssl_certificate   ssl/server.crt;
        ssl_certificate_key  ssl/server.key;
        location / {
                root /website/https;
                index index.html;
        }
}
server {
        listen 80;
        server_name www.shelldon.com;
        # 用户访问http的时候强制跳转443
        return 302 https://$server_name$request_uri;
}
[[email protected] ~]# mkdir /website/https
[[email protected] ~]# echo https website > /website/https/index.html

多台实现https

负载均衡上的配置,在实际过程中,只需要在负载均衡上配置https就可以了,内网通信使用http。

[[email protected] ~]# vi /etc/nginx/conf.d/upstream.conf
upstream blog {
        server 172.16.1.7;
        server 172.16.1.8 down;
        server 172.16.1.9 down;
}
# 80做的都是http强转https
server {
        listen 80;
        server_name wp.gong.com;
        return 302 https://$server_name$request_uri;
}
server {
        listen 80;
        server_name zh.gong.com;
        return 302 https://$server_name$request_uri;
}
server {
        listen 443 ssl;
        server_name wp.gong.com;
        ssl_certificate   ssl/server.crt;
        ssl_certificate_key  ssl/server.key;
        location / {
                proxy_pass http://blog;
                include proxy_params;
        }
}
server {
        listen 443 ssl;
        server_name zh.gong.com;
        ssl_certificate   ssl/server.crt;
        ssl_certificate_key  ssl/server.key;
        location / {
                proxy_pass http://blog;
                include proxy_params;
        }
}

web中的配置

[[email protected] ~]# vi /etc/nginx/conf.d/wp.conf
server {
        listen 80;
        server_name wp.gong.com;
        root /website/wp;
        index index.php;
        location ~ \.php$ {
                fastcgi_pass 127.0.0.1:9000;
                fastcgi_index index.php;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
   # 在这里要告诉php,负载均衡那里已经使用80跳转443了,使用https访问
   fastcgi_param HTTPS on;
                include fastcgi_params;
        }
}
[[email protected] /etc/nginx/conf.d]# vi zh.conf 
server {
        listen 80;
        server_name zh.gong.com;
        root /website/zh;
        index index.php;
        location ~ \.php$ {
                fastcgi_pass 127.0.0.1:9000;
                fastcgi_index index.php;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
   
   fastcgi_param HTTPS on;
                include fastcgi_params;
        }
}

ssl优化参数

https使用在负载均衡中。

server {
    listen 443 ssl;
    server_name blog.driverzeng.com;
    root /var/www/wordpress;
    index index.php;
    # 指定证书的路径
    ssl_certificate   ssl/215089466160853.pem;
    ssl_certificate_key  ssl/215089466160853.key;
    
    include ssl_params;
    }
  #在建立完ssl握手后如果断开连接,在session_timeout时间内再次连接,是不需要再次获取公钥建立握手的,可以使用之前的连接
 ssl_session_cache shared:SSL:10m;
 #ssl连接断开后的超时时间
 ssl_session_timeout 1440m;  
  #配置加密套接协议
 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; 
  #使用TLS版本协议
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
  #nginx决定使用哪些协议与浏览器通信
 ssl_prefer_server_ciphers on; 
    
    
[[email protected] /etc/nginx]# vi ssl_params
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1440m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;