nginx ssl

原創 linchqd 2019-02-23 00:01

爲nginx配置https並自簽名證書

一、把證書準備好。

步驟與使用OpenSSL自簽發服務器https證書所述大同小異。在這裏再重複一次。

1、製作CA證書:

ca.key CA私鑰:

openssl genrsa -des3 -out ca.key 2048

製作解密後的CA私鑰(一般無此必要):

openssl rsa -in ca.key -out ca_decrypted.key

ca.crt CA根證書(公鑰):

openssl req -new -x509 -days 7305 -key ca.key -out ca.crt

2、製作生成網站的證書並用CA簽名認證

在這裏,假設網站域名爲blog.creke.net

生成blog.creke.net證書私鑰:

openssl genrsa -des3 -out blog.creke.net.pem 1024

製作解密後的blog.creke.net證書私鑰:

openssl rsa -in blog.creke.net.pem -out blog.creke.net.key

生成簽名請求:

openssl req -new -key blog.creke.net.pem -out blog.creke.net.csr

在common name中填入網站域名,如blog.creke.net即可生成改站點的證書,同時也可以使用泛域名如*.creke.net來生成所有二級域名可用的網站證書。

用CA進行簽名:

openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in blog.creke.net.csr -out blog.creke.net.crt

其中,policy參數允許簽名的CA和網站證書可以有不同的國家、地名等信息,days參數則是簽名時限。

如果在執行簽名命令時,出現“I am unable to access the ../../CA/newcerts directory”

修改/etc/pki/tls/openssl.cnf中“dir = ./CA”

然後:

mkdir -p CA/newcerts

touch CA/index.txt

touch CA/serial

echo “01″ > CA/serial

再重新執行簽名命令。

最後,把ca.crt的內容粘貼到blog.creke.net.crt後面。這個比較重要!因爲不這樣做,可能會有某些瀏覽器不支持。

好了,現在https需要到的網站私鑰blog.creke.net.key和網站證書blog.creke.net.crt都準備完畢。接下來開始配置服務端。

二、配置nginx

新開一個虛擬主機,並在server{}段中設置:

listen 443;

ssl on;

ssl_certificate /path/to/blog.creke.net.crt;

ssl_certificate_key /path/to/blog.creke.net.key;

其中的路徑是剛剛生成的網站證書的路徑。

然後使用一下命令檢測配置和重新加載nginx:

檢測配置:

nginx -t

重新加載:

nginx -s reload

三、優化nginx配置

1、優化nginx性能

在http{}中加入:

ssl_session_cache shared:SSL:10m;

ssl_session_timeout 10m;

據官方文檔所述,cache中的1m可以存放4000個session。

在配置https的虛擬主機server{}中加入:

keepalive_timeout 70;

2、有時候,會發現,在phpMyAdmin等程序登入後會錯誤地跳轉http的問題。解決方法是定位至“location ~ .*\.(php|php5)?${}”在include fcgi.conf;或者在fastcgi_param配置後面加上:

fastcgi_param HTTPS on;

fastcgi_param HTTP_SCHEME https;

這裏是nginx官方的關於https的文檔,可以作爲參考。


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

nginx配置SSL實現服務器/客戶端雙向認證

symyself 2019-02-22 20:26:50

nginx ssl

hanwei321 2019-02-22 18:23:23

nginx-ssl

xczwhx 2018-09-13 02:47:11

nginx ssl

linchqd 2018-09-12 02:22:45

POODLE漏洞東山再起,影響TLS安全傳輸協議

weikle 2018-09-11 08:44:18

nginx配置SSL實現服務器/客戶端雙向認證

symyself 2018-09-11 08:35:16

nginx ssl

hanwei321 2018-09-11 06:12:55

申請免費ssl證書 StartSSL

堯山小學 2018-09-11 03:53:06

usb-c接口與USB接口的區別

USB Type-C具有以下特性: 1.快速   理論上,USB-C端口的最高傳輸速率爲每秒10GB。但是蘋果表示新款MacBook的USB-C端口最高傳輸速率爲5Gbps。最大輸出電壓爲20伏,可以加快充電時間。 而USB-A型,

大星海29 2020-07-01 06:08:21

bunyan日誌框架自帶字段重寫問題

const utils = require('./utils.js'); // 時間格式化函數 const bunyan = require("bunyan"); const log = bunyan.createLogger(

我叫陈小皮。 2020-06-23 22:06:50

正則 - 除後四位都顯示* / 除第一位都顯示*

最近做了個需求,身份信息,身份證銀行卡需要只顯示後四位,姓名只顯示第一位,so,有了這個博客 real_name.replace(/([\u4e00-\u9fa5a-zA-Z])/g, function (a, b, c, d)

我叫陈小皮。 2020-06-23 22:06:50

Bootstrap組件系列之福利篇幾款好用的組件(推薦)

LLittleKevin 2020-02-22 11:48:02

bootstrapvalidator 使用小記

LLittleKevin 2020-02-22 11:48:02

轉載一篇很好的bootstrap fileinput使用博客

LLittleKevin 2020-02-22 11:48:02

時間戳,字符串轉換小工具

LLittleKevin 2020-02-22 11:48:02