Nginx ビルド https サーバー インスタンスの分析

https の概要

https (セキュア ソケット レイヤ上のハイパーテキスト転送プロトコル) は、セキュリティをターゲットとした http チャネルであり、簡単に言えば、http の安全なバージョンです。つまり、http の下に SSL 層が追加されますが、https のセキュリティ基盤は SSL であるため、暗号化の詳細には SSL が必要です。

これは uri スキーム (抽象識別子システム) であり、構文は http: システムに似ており、安全な http データ送信に使用されます。 https で使用されるデフォルトのポートは 443 です。サーバーの場合は、公開キーを使用します。 公開キーと秘密キーのペアを作成します。ほとんどの場合、証明書要求 (自分の公開キーを含む)、会社の資格情報、および料金を認証局 (ca) に送信します。ca は証明書要求とユーザーの ID を検証し、証明書を安全なサーバーに返します。

ただし、イントラネットではサーバー側とクライアント側の送信コンテンツの暗号化が実装されているため、独自の証明書を発行して、ブラウザーの不信警告を無視することもできます。 CA によって署名された証明書は、サーバーに 2 つの重要な機能を提供します。

ブラウザは自動的に証明書を認識し、ユーザーにプロンプ​​トを表示せずに作成を許可します。 安全な接続

#CA が署名付き証明書を生成すると、Web ページをブラウザーに提供する組織の ID が保証されます。

SSL をサポートするほとんどの Web サーバーには、証明書が自動的に受け入れられる CA のリストがあります。ブラウザーが認証局 ca がリストにない証明書を見つけると、ブラウザーはユーザーに接続を受け入れるか拒否するかを尋ねます

• SSL 証明書を生成

openssl genrsa -des3 -out wangzhengyi.key 2048

• 
  

  #openssl req -new -key wangzhengyi.key -out wangzhengyi.csr

自己署名 CA 証明書の作成

openssl req -new -x509 -days 3650 -key wangzhengyi_nopass.key -out wangzhengyi.crt

https 仮想ホストの構築

仮想ホスト構成ファイル

upstream sslfpm {
 server 127.0.0.1:9000 weight=10 max_fails=3 fail_timeout=20s;
}

server { 
 listen   192.168.1.*:443; 
 server_name 192.168.1.*; 
 
 #为一个server开启ssl支持
 ssl         on;
 #为虚拟主机指定pem格式的证书文件
 ssl_certificate   /home/wangzhengyi/ssl/wangzhengyi.crt; 
 #为虚拟主机指定私钥文件
 ssl_certificate_key /home/wangzhengyi/ssl/wangzhengyi_nopass.key; 
 #客户端能够重复使用存储在缓存中的会话参数时间
 ssl_session_timeout 5m;
 #指定使用的ssl协议 
 ssl_protocols sslv3 tlsv1; 
 #指定许可的密码描述
 ssl_ciphers all:!adh:!export56:rc4+rsa:+high:+medium:+low:+sslv2:+exp; 
 #sslv3和tlsv1协议的服务器密码需求优先级高于客户端密码
 ssl_prefer_server_ciphers on;

 location / { 
 root /home/wangzhengyi/ssl/;
 autoindex on;
     autoindex_exact_size  off;
     autoindex_localtime on;
 } 
   # redirect server error pages to the static page /50x.html
   #
   error_page 500 502 503 504 /50x.html;
   error_page 404 /404.html;

 location = /50x.html {
     root /usr/share/nginx/www;
   }
  location = /404.html {
     root /usr/share/nginx/www;
   }
  
   # proxy the php scripts to fpm
   location ~ \.php$ {
 access_log /var/log/nginx/ssl/ssl.access.log main;
 error_log /var/log/nginx/ssl/ssl.error.log;
 root /home/wangzhengyi/ssl/; 
 fastcgi_param https on;
     include /etc/nginx/fastcgi_params; 
     fastcgi_pass  sslfpm;
   }
}

以上がNginx ビルド https サーバー インスタンスの分析の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。