局域网内自签发 https 证书
admin
2024年3月30日 0:6
本文热度 488
HTTPS(全称:HyperText Transfer Protocol Secure)是HTTP(超文本传输协议)的安全版本。本质上,HTTPS在HTTP的基础上,通过SSL/TLS协议提供了数据加密、完整性保护和身份验证,以确保网络数据传输的安全性。HTTPS被广泛用于互联网上的安全通信,特别是在线交易和处理敏感信息时,本文以Nginx为例部署自签发https证书。
一、HTTPS的主要特点包括: 加密 :HTTPS利用SSL/TLS协议在客户端和服务器之间建立加密连接,保护数据传输过程中的隐私和安全,防止数据在传输过程中被窃听或篡改。数据完整性 :确保数据在传输过程中未被篡改,保持了数据的完整性。身份验证 :通过SSL/TLS证书帮助确认服务器的真实身份,防止DNS劫持或中间人攻击等安全问题。二、HTTPS的工作原理: 客户端发送HTTPS请求 :用户在浏览器中输入一个HTTPS的URL,浏览器向服务器发送一个请求,请求建立SSL连接。服务器响应 :服务器向客户端发送其SSL证书,该证书包含服务器的公钥以及证书的颁发机构等信息。客户端验证证书 :客户端(如浏览器)验证证书的有效性,确保它是由受信任的证书颁发机构(CA)签发的,并且证书对应的域名与正在访问的域名匹配。如果证书验证通过,则继续;如果失败,将警告用户连接不安全。密钥交换 :客户端生成一个随机的对称密钥,使用服务器的公钥加密这个对称密钥,并发送给服务器。服务器使用自己的私钥解密,获取对称密钥。加密通信 :双方使用上述协商的对称密钥加密通信内容,确保数据传输的安全性。三、为什么HTTPS如此重要: 隐私保护 :HTTPS加密了用户与网站之间的所有交互,保护了用户数据的隐私。安全性增强 :通过身份验证和数据完整性校验,HTTPS减少了被中间人攻击的风险。信任增强 :网站使用HTTPS可以在浏览器地址栏显示安全锁标志,增加用户对网站的信任。搜索引擎优化 :许多搜索引擎,包括Google,对使用HTTPS的网站给予更高的排名。四、部署HTTPS需要满足以下基本条件和步骤: 购买证书 :你可以从许多证书颁发机构(CA)购买SSL/TLS证书,例如VeriSign、Comodo、Let's Encrypt等。这些证书的价格和类型(如域名验证DV、组织验证OV、扩展验证EV)不同,适用于不同的需求和预算。免费证书 :Let's Encrypt提供了免费的SSL/TLS证书,适用于大多数基本需求,并且支持自动续签。这使得HTTPS更容易为各种网站所采纳。证书的安装和配置过程会根据你的服务器软件(如Apache、Nginx、IIS等)而异。通常,你需要将获取的证书(通常是一个.crt文件)和私钥(一个.key文件)安装到服务器上,并且可能需要安装证书颁发机构的中间证书。 配置过程中,你需要修改服务器的配置文件,指定证书文件和私钥文件的位置,并且可能需要指定使用的加密套件和协议版本等安全设置。 确保网站上所有的资源(如图片、脚本、样式表等)都通过HTTPS而非HTTP加载,避免“混合内容”问题,这可能会导致浏览器安全警告。 对于外部资源,确保链接使用HTTPS,或者考虑将它们托管在你自己的服务器上。 配置服务器自动将所有HTTP请求重定向到HTTPS,确保用户即使输入了HTTP URL也能通过安全的HTTPS连接访问网站。 在服务器配置中实现重定向通常很简单,例如在Apache服务器上,你可以使用.htaccess
文件来设置重定向规则。 如果你使用了第三方服务(如社交媒体登录、在线支付网关等),请确保它们支持HTTPS,并且配置正确。 在全面启用HTTPS之前,使用工具如Qualys SSL Labs的SSL Server Test进行全面测试,确保证书正确安装,且服务器配置符合最佳实践。 Nginx 部署本地生成https 本地生成在没有域名的情况下基于ip生成如果存在域名可以基于certbot 生成免费证书
1 检查nginx是否支持配置
nginx -V
2 证书生成
ubuntu: sudo apt-get install libssl-dev centos: yum install openssl yum install openssl-devel
3 生成证书
1进入证书目录cd /etc/nginx/sslkey 2创建本地私有密钥 openssl genrsa -out ssl.key 2048 3按提示输入即可 openssl req -new -key ssl.key -out ssl.csr 4创建证书crt openssl x509 -req -days 1460 -in ssl.csr -signkey ssl.key -out ssl.crt 5创建证书pem openssl dhparam -out ssl.pem 2048
4 Nginx 配置
server { listen 80; return 301 https://$host $request_uri ; } server { listen 443 ssl; ssl_certificate /etc/nginx/sslkey/ssl.crt; ssl_certificate_key /etc/nginx/sslkey/ssl.key; ssl_session_timeout 5m; ssl_protocols TLSv1.2; ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!KRB5:!aECDH:!EDH+3DES; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" ; }
检查配置项,并重启
nginx -t nginx -s reload
自签名证书是一种由服务器管理员自己创建的证书,而不是由 CA 颁发的。这种证书提供了相同级别的加密,但不提供第三方验证身份的信任。自签名证书通常用于内部网络、测试环境或其他不需要公众信任的场景。使用自签名证书的主要问题是浏览器会警告用户这个证书不受信任,因为它没有由已知的 CA 颁发。用户需要手动添加一个例外或信任该证书,才能访问网站。
该文章在 2024/3/30 0:06:15 编辑过