- 1【Autosar】MCAL - MCU(NXP - S32K14x)_s32k14x芯片手册
- 2virtualbox安装centos系统连接外网配置
- 3【基础】(C语言)高精度算法_c语言高精度计算
- 4【中国联通面试】_中国联通面试真题
- 5大模型手机密集下场:华为、荣耀、OPPO、vivo、小米杀疯_中建四局智控与数字科技事业部
- 6Linux命令之 systemctl 指令_liunx systemctl 命令
- 78个数据分析模型简介
- 8前端篇(第二节)-使用npm安装pnpm_npm 安装pnpm
- 9jenkins maven_java.lang.unsatisfiedlinkerror: /opt/java/openjdk/
- 10netfilter分析1-钩子函数在内核的初始化_nf_hook_state
Nginx-HTTPS 配置_nginx 的默认配置允许您使用不安全的日版tls协议(根据官方文档: ss protocs tls
赞
踩
目录
一、搞懂http与https
HTTP是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版本,HTTPS协议是利用SSL+HTTP协议建立安全信道,加密数据包,提供身份认证的网络协议,要比http协议安全。
HTTPS和HTTP的区别:
• http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
• http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
• 使用https协议需要申请证书,证书有收费和免费的。
现在网站几乎所有都开启了https协议,所以使用https已经是个趋势。
二、购买域名
这次咱们使用阿里的SSL证书和域名,这两个必须得同一家的才行,同理,如果你是华为的则域名和SSL证书都得在华为云上申请购买!
三、域名解析
购买域名后,需要对域名进行解析阿里云域名解析
在cmd ping 一下 www.startsky.top 试试,如果前面填写的是公网ip,则可以直接ping通,否则得在Windows配置本地域名解析,添加服务器ip和域名:
修改 hosts 需要权限:
添加完 ip 和 域名后,再把文件权限修改回来,保证安全!!!
此时在cmd 测试:
四、申请 SSL 证书
申请流程可以查看我的这篇文章用nginx构建高效不限速的个人网盘(File Browser)
五、把 SSL 证书上传到 nginx
1.下载 nginx 证书
解压后得到下面两个文件:
2.上传文件
将证书上传到/usr/local/nginx/conf/ssl目录下并绑定到我们服务器的nginx配置上即可,在nginx上配置ssl证书,需要在nginx.conf中 http模块 新添加一个 server段,默认的 server 80端口不修改,内容如下:
- [root@Euler nginx]# mkdir -p /usr/local/nginx/conf/ssl
- [root@Euler nginx]# cd conf/ssl/
- [root@Euler ssl]# ls
- 8132331_startsky.top.key 8132331_startsky.top.pem
-
- [root@Euler ssl]# vim /usr/local/nginx/conf/nginx.conf
-
- server
- {
- listen 443 ssl; # https 默认端口
- server_name www.startsky.top; # 设置的域名
- ssl_certificate ssl/8132331_startsky.top.pem; # 阿里云证书文件
- ssl_certificate_key ssl/8132331_startsky.top.key; # 私钥文件
- ssl_prefer_server_ciphers on; # 以下是加密算法和强度相关
- ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- ssl_ciphers "HIGH:!aNULL:!MD5";
- add_header X-Frame-Options DENY;
- add_header X-Content-Type-Options nosniff;
- add_header X-Xss-Protection 1;
-
- # 反向代理
- location / {
- proxy_pass http://192.168.78.138:8088;
- proxy_set_header Host $proxy_host;
- proxy_set_header X-Real-IP $remote_addr;
- proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
- }
- }
reload一下nginx:
在360极速浏览器中输入 域名 www.startsky.top访问,会跳转到80端口nginx的默认页面,而不会跳转到443https页面,需要手动加上https才能访问到安全界面,就很麻烦。但谷歌浏览器直接输入 域名会立刻跳转到https安全界面。这就造成一个问题,并不是所有用户都使用谷歌浏览器访问。
解决办法:
方法一:可以把 server 443 ssl 模块放到 最前面,这样访问的时候会先匹配第一个server模块的内容,则会访问 443 端口。
方法二:做一个页面跳转,让http的访问跳转到https的访问,这样就无需调整 server模块顺序。
- worker_processes auto;
-
- events {
- worker_connections 1024;
- }
-
-
- http {
- include mime.types;
- default_type application/octet-stream;
-
-
- sendfile on;
-
- keepalive_timeout 65;
-
-
- # 方法二,页面跳转
- # server {
- #
- # listen 80;
- # server_name www.startsky.top; # 填写自己的域名
- # return 301 https://$server_name$request_uri;
- # }
-
- server {
- listen 443 ssl;
- server_name www.startsky.top; # 设置的域名
- ssl_certificate ssl/8132331_startsky.top.pem; # 阿里云证书文件
- ssl_certificate_key ssl/8132331_startsky.top.key; # 私钥文件
- ssl_prefer_server_ciphers on; # 以下是加密算法和强度相关
- ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- ssl_ciphers "HIGH:!aNULL:!MD5";
- add_header X-Frame-Options DENY;
- add_header X-Content-Type-Options nosniff;
- add_header X-Xss-Protection 1;
-
- location / {
- proxy_pass http://192.168.78.138:9000;
- proxy_set_header Host $proxy_host;
- proxy_set_header X-Real-IP $remote_addr;
- proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
- }
-
- error_page 500 502 503 504 /50x.html;
- location = /50x.html {
- root html;
- }
-
-
- }
-
- server {
-
- listen 80;
- server_name www.startsky.top;
- return 301 https://$server_name$request_uri;
- }
-
- }
直接输入域名访问即可:
