微信小程序要進行https的訪問請求,需要配置http+ssl的hppts。項目採用clery+nginx+uwsgi+redies+django技術選型,因此只能採用nginx來配置https,Apache也可以,但是沒使用過。
首先講一下https的原理:
HTTP 有以下安全性問題:
(1)使用明文進行通信,內容可能會被竊聽;
(2)不驗證通信方的身份,通信方的身份有可能遭遇僞裝;
(3)無法證明報文的完整性,報文有可能遭篡改。
HTTPS 並不是新協議,而是讓 HTTP 先和 SSL(Secure Sockets Layer)通信,再由 SSL 和 TCP 通信,也就是說 HTTPS 使用了隧道進行通信。 通過使用 SSL,HTTPS 具有了加密(防竊聽)、認證(防僞裝)和完整性保護(防篡改)。
加密:
(1)對稱密鑰加密(Symmetric-Key Encryption),加密和解密使用同一密鑰。
(2)非對稱密鑰加密,又稱公開密鑰加密(Public-Key Encryption),加密和解密使用不同的密鑰。
公開密鑰所有人都可以獲得,通信發送方獲得接收方的公開密鑰之後,就可以使用公開密鑰進行加密,接收方收到通信內容後使用私有密鑰解密。 非對稱密鑰除了用來加密,還可以用來進行簽名。因爲私有密鑰無法被其他人獲取,因此通信發送方使用其私有密鑰 進行簽名,通信接收方使用發送方的公開密鑰對簽名進行解密,就能判斷這個簽名是否正確。
HTTPS 採用混合的加密機制,使用非對稱密鑰加密用於傳輸對稱密鑰來保證傳輸過程的安全性,之後使用對稱密鑰加密進行通信來保證通信過程的效率。
認證:
通過使用證書來對通信方進行認證。
數字證書認證機構(CA,Certificate Authority)是客戶端與服務器雙方都可信賴的第三方機構。 服務器的運營人員向 CA 提出公開密鑰的申請,CA 在判明提出申請者的身份之後,會對已申請的公開密鑰做數字籤 名,然後分配這個已簽名的公開密鑰,並將該公開密鑰放入公開密鑰證書後綁定在一起。 進行 HTTPS 通信時,服務器會把證書發送給客戶端。客戶端取得其中的公開密鑰之後,先使用數字簽名進行驗證, 如果驗證通過,就可以開始通信了。
完整性保護:
SSL 提供報文摘要功能來進行完整性保護。 HTTP 也提供了 MD5 報文摘要功能,但不是安全的。例如報文內容被篡改之後,同時重新計算 MD5 的值,通信接收方是無法意識到發生了篡改。
HTTPS 的報文摘要功能之所以安全,是因爲它結合了加密和認證這兩個操作。試想一下,加密之後的報文,遭到篡 改之後,也很難重新計算報文摘要,因爲無法輕易獲取明文。
HTTPS 的缺點:
因爲需要進行加密解密等過程,因此速度會更慢;
需要支付證書授權的高額費用。
使用nginx配置hppts:
nginx配置ssl很簡單,首先需要兩個文件,一個是crt文件,另一個是key文件,如下所示:
server.crt; #(證書公鑰)
server.key; #(證書私鑰)
在windows下的證書一般是pfx文件,這裏需要把pfx文件轉成crt和key文件,轉換方法如下:
第一步:下載OpenSSL軟件包
第二步:解壓縮到 c:\openssl 目錄下,運行cmd.exe進入命令窗口,執行:
cd c:\openssl\bin
set OPENSSL_CONF=openssl.cnf
將*.pfx文件放到bin目錄下,執行:
openssl pkcs12 -in myssl.pfx -nodes -out server.pem
openssl rsa -in server.pem -out server.key
openssl x509 -in server.pem -out server.crt
得到server.key,server.crt
然後把這兩個文件放到nginx的conf文件夾下
打開nginx配置文件,添加配置段:
# HTTPS
server {
listen 443;
server_name www.ydyw.com; # 項目域名
ssl on;
ssl_certificate server.crt; #(證書公鑰)
ssl_certificate_key server.key; #(證書私鑰)
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://192.168.1.11:8000; # django服務器地址
}
}
然後訪問https://www.ydyw.com 就可以了
如果要實現http強制跳轉到https,可以添加下面配置段:
server {
listen 80;
server_name www.ydyw.com;
# 跳轉到HTTPS
return 301 https://$server_name$request_uri;
}
########################################################################################################################################################################################################
安裝 nginx
有可能你當前已經通過 apt-get
yum
等命令安裝了,但是可能不支持 https http2 ipv6 等功能。
查看當前版本配置
我們可以通過 nginx -V
命令來查看版本以及支持的配置。
下面這以 ubuntu 爲例,卸載安裝 nginx
卸載
# 移除 nginx
$ apt-get --purge remove nginx
# 查詢 nginx 依賴的包,會列出來
$ dpkg --get-selections|grep nginx
# 移除上面列出的包,例如 nginx-common
$ apt-get --purge remove nginx-common
# 也可以執行 autoremove ,會自動刪除不需要的包
$ apt-get autoremove
# 查詢 nginx 相關的文件,刪掉就可以了
$ sudo find / -name nginx*
安裝依賴庫
# gcc g++
apt-get install build-essential
apt-get install libtool
# pcre
sudo apt-get install libpcre3 libpcre3-dev
# zlib
apt-get install zlib1g-dev
# ssl
apt-get install openssl
apt-get install libssl-dev
安裝 nginx
到 nginx download 上找到最新的nginx 版本
# 下載
$ wget https://nginx.org/download/nginx-1.17.8.tar.gz
# 解壓
$ tar -zxvf nginx-1.17.8.tar.gz
# 進入目錄
$ cd nginx-1.17.8
# 配置,這裏可能會報錯,缺少啥就去安裝啥
$ ./configure --prefix=/usr/local/nginx \
--with-http_gzip_static_module \
--with-http_v2_module \
--with-pcre \
--with-http_ssl_module
#安裝
$ make
$ make install
#軟連接
sudo ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx
SSL 證書
SSL 證書通常需要購買,也有免費的,通過第三方 SSL 證書機構頒發。你也可以在雲服務商上購買,但是一般免費的 ssl 證書只能支持單個域名。
這裏推薦 Let’s Encrypt 機構,然後使用 acme.sh 從 letsencrypt 生成免費的證書,且可以生成泛域名證書。
參考 acme.sh 中文 wiki 、使用 acme.sh 部署 Let's Encrypt 通過阿里雲 DNS 驗證方式實現泛域名 HTTPS
上面的兩篇文章講的很詳細了,不再贅述。
PS:
-
建議使用 DNS 驗證
-
--dns dns_ali
是根據不同服務商來的,dns_ali
就是指阿里雲。其他服務商的參考 How to use DNS API 。 -
證書生成後,默認在
~/.acme.sh/
目錄下,這裏的文件是內部使用的,需要使用--installcert
命令指定到目標位置
這裏將證書放到了 nginx 的 conf 目錄下 .../conf/ssl/...
配置 http
http 基礎配置
http 的配置很簡單,配置如下,我們先讓網站可以訪問起來。
server {
listen 80;
server_name wangsijie.top www.wangsijie.top;
location / {
root /var/www/main;
index index.html;
}
}
使用 http://
訪問,就會如下顯示
配置 https
Https 基礎配置
server {
listen 443 ssl;
server_name wangsijie.top www.wangsijie.top;
# 證書文件,這裏使用了 fullchain.cer 通過 acme.sh 生成的泛域名證書
ssl_certificate ssl/fullchain.cer;
# 私鑰文件
ssl_certificate_key ssl/wangsijie.top.key;
location / {
root /var/www/main;
index index.html;
}
}
重啓後,以 https://
開頭訪問你的網站,就會發現
修改 http 配置
但是用 http://
訪問,仍舊顯示連接不安全,我們需要修改配置,當訪問 http 時會重定向到 https 如下
server {
listen 80;
server_name wangsijie.top www.wangsijie.top;
return 301 https://$server_name$request_uri;
}
這時再用 http://
訪問,就會重定向到 https://
PS:
網上也有許多使用 rewrite
來重定向,但是 return
指令簡單高效,建議儘量使用 return
完整配置
server {
listen 80;
server_name wangsijie.top www.wangsijie.top;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name wangsijie.top www.wangsijie.top;
ssl_certificate ssl/fullchain.cer;
ssl_certificate_key ssl/wangsijie.top.key;
location / { root /var/www/main; index index.html; }
}
混合配置
server {
listen 80;
listen 443 ssl;
server_name wangsijie.top www.wangsijie.top;
ssl_certificate ssl/fullchain.cer;
ssl_certificate_key ssl/wangsijie.top.key;
location / {
root /var/www/main;
index index.html;
}
}
https 安全
加密套件
https 默認採用 SHA-1 算法,非常脆弱。我們可以使用迪菲-赫爾曼密鑰交換。
我們在 /conf/ssl
目錄下生成 dhparam.pem
文件
openssl dhparam -out dhparam.pem 2048
下面的指令 ssl_protocols
和 ssl_ciphers
是用來限制連接只包含 SSL/TLS 的加強版本和算法。
# 優先採取服務器算法
ssl_prefer_server_ciphers on;
# 使用 DH 文件
ssl_dhparam ssl/dhparam.pem;
# 協議版本
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 定義算法
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
複製代碼
安全的響應頭# 啓用 HSTS 。允許 https 網站要求瀏覽器總是通過 https 來訪問
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
# 減少點擊劫持
add_header X-Frame-Options DENY;
# 禁止服務器自動解析資源類型
add_header X-Content-Type-Options nosniff;# 防XSS攻擊
add_header X-Xss-Protection 1;
複製代碼
服務器優化# 配置共享會話緩存大小
ssl_session_cache shared:SSL:10m;
# 配置會話超時時間
ssl_session_timeout 10m;
複製代碼
http2 配置
http2 配置很簡單,只要後面增加 http2。
下面 [::]: 表示 ipv6 的配置,不需要可以不加那一行listen 80;
listen [::]:80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
重啓 nginx 後,你可以在這個網站上 tools.keycdn.com/http2-test 測試http2有沒有配置成功。
最後
完整配置
server {
listen 80;
listen [::]:80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name wangsijie.top www.wangsijie.top;
ssl_certificate ssl/fullchain.cer;
ssl_certificate_key ssl/wangsijie.top.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_prefer_server_ciphers on;
ssl_dhparam ssl/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-Xss-Protection 1;
location / {
root /var/www/main;
index index.html;
}
}
配置文件優化
爲了讓更多的二級域名支持上面的功能,每個 server 都這麼寫太過於繁瑣。
可以將 listen 443 、ssl、add_header 相關的單獨寫在一個文件上,然後使用 inculde
指令。
如下:其他的配置都放在了conf.d/https-base.conf
中
server {
listen 8099;
listen [::]:8099;
server_name test.wangsijie.top;
include conf.d/https-base.conf;
location / {
root /var/www/test;
index index.html;
}
}