Nginx membina analisis contoh pelayan https

Pengenalan kepada https

https (protokol pemindahan hiperteks pada lapisan soket selamat) ialah saluran http yang menyasarkan keselamatan, ia adalah versi selamat http. Iaitu, lapisan SSL ditambah di bawah http Asas keselamatan https ialah SSL, jadi butiran penyulitan memerlukan SSL.

Ia ialah skema uri (sistem pengecam abstrak), sintaksnya serupa dengan sistem http: dan digunakan untuk penghantaran data http selamat. Port lalai yang digunakan oleh https ialah 443.

sijil ssl

Pengenalan kepada jenis sijil

Untuk menyediakan selamat pelayan, gunakan awam Cipta pasangan kunci awam-swasta. Dalam kebanyakan kes, hantarkan permintaan sijil (termasuk kunci awam anda sendiri), bukti kelayakan syarikat anda dan bayaran kepada Pihak Berkuasa Sijil (ca).ca mengesahkan permintaan sijil dan identiti anda, kemudian mengembalikan sijil itu ke pelayan selamat anda .

Tetapi intranet melaksanakan penyulitan bagi kandungan penghantaran sebelah pelayan dan sebelah pelanggan Anda boleh mengeluarkan sijil anda sendiri dan abaikan sahaja amaran ketidakpercayaan penyemak imbas.

Sijil yang ditandatangani oleh ca menyediakan pelayan anda dengan dua ciri penting:

• Pelayar akan secara automatik mengecam sijil dan membenarkan penciptaan tanpa meminta pengguna Sambungan Selamat

• Apabila CA menjana sijil yang ditandatangani, ia memberikan jaminan identiti organisasi yang menyediakan halaman web kepada penyemak imbas.

• Kebanyakan pelayan web yang menyokong SSL mempunyai senarai CA yang sijilnya akan diterima secara automatik. Apabila penyemak imbas menemui sijil yang kebenarannya ca tiada dalam senarai, penyemak imbas akan bertanya kepada pengguna sama ada untuk menerima atau menolak sambungan
  

Jana sijil SSL

openssl genrsa -des3 -out wangzhengyi.key 2048

openssl req -new -key wangzhengyi.key -out wangzhengyi.chesr>🎜>🎜

Buat sijil ca yang ditandatangani sendiri

openssl req -new -x509 -days 3650 -key wangzhengyi_nopass.key -out wangzhengyi.c

Bina hos maya https

Fail konfigurasi hos maya

upstream sslfpm {
 server 127.0.0.1:9000 weight=10 max_fails=3 fail_timeout=20s;
}

server { 
 listen   192.168.1.*:443; 
 server_name 192.168.1.*; 
 
 #为一个server开启ssl支持
 ssl         on;
 #为虚拟主机指定pem格式的证书文件
 ssl_certificate   /home/wangzhengyi/ssl/wangzhengyi.crt; 
 #为虚拟主机指定私钥文件
 ssl_certificate_key /home/wangzhengyi/ssl/wangzhengyi_nopass.key; 
 #客户端能够重复使用存储在缓存中的会话参数时间
 ssl_session_timeout 5m;
 #指定使用的ssl协议 
 ssl_protocols sslv3 tlsv1; 
 #指定许可的密码描述
 ssl_ciphers all:!adh:!export56:rc4+rsa:+high:+medium:+low:+sslv2:+exp; 
 #sslv3和tlsv1协议的服务器密码需求优先级高于客户端密码
 ssl_prefer_server_ciphers on;

 location / { 
 root /home/wangzhengyi/ssl/;
 autoindex on;
     autoindex_exact_size  off;
     autoindex_localtime on;
 } 
   # redirect server error pages to the static page /50x.html
   #
   error_page 500 502 503 504 /50x.html;
   error_page 404 /404.html;

 location = /50x.html {
     root /usr/share/nginx/www;
   }
  location = /404.html {
     root /usr/share/nginx/www;
   }
  
   # proxy the php scripts to fpm
   location ~ \.php$ {
 access_log /var/log/nginx/ssl/ssl.access.log main;
 error_log /var/log/nginx/ssl/ssl.error.log;
 root /home/wangzhengyi/ssl/; 
 fastcgi_param https on;
     include /etc/nginx/fastcgi_params; 
     fastcgi_pass  sslfpm;
   }
}

Atas ialah kandungan terperinci Nginx membina analisis contoh pelayan https. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!