nginx配置https

HTTPS简介

HTTPS 是运行在 TLS/SSL 之上的 HTTP,与普通的 HTTP 相比,在数据传输的安全性上有很大的提升。
TLS是传输层安全协议(Transport Layer Security)的缩写,是一种对基于网络的传输的加密协议,可以在受信任的第三方公证基础上做双方的身份认证。TLS可以用在TCP上,也可以用在无连接的UDP报文上。协议规定了身份认证、算法协商、密钥交换等的实现。

SSL是TLS的前身,现在已不再更新

证书是TLS协议中用来对身份进行验证的机制,是一种数字签名形式的文件,包含证书拥有者的公钥及第三方的证书信息。

证书分为2类:自签名证书和CA证书。一般自签名证书不能用来进行身份认证,如果一个server端使用自签名证书,client端要么被设置为无条件信任任何证书,要么需要将自签名证书的公钥和私钥加入受信任列表。但这样一来就增加了server的私钥泄露风险。

https能够有效的防止流量劫持,对内容加密(中间者无法直接查看原始内容)、身份认证、数据完整性(防止内容被第三方冒充或者篡改)

https协议原理

首先,客户端与服务器建立连接,各自生成私钥和公钥,是不同的。服务器返给客户端一个公钥,然后客户端拿着这个公钥把要搜索的东西加密,称之为密文,并连并自己的公钥一起返回给服务器,服务器拿着自己的私钥解密密文,然后把响应到的数据用客户端的公钥加密,返回给客户端,客户端拿着自己的私钥解密密文,把数据呈现出来

用openssl生成相关文件

1.先生成私钥key

openssl genrsa -out ssl.key 2048

2.生成证书请求csr,其中days参数是证书有效期.

openssl req -new -key ssl.key -days 3650 -out ssl.csr

输出内容为:

Enter pass phrase for root.key: ← 输入前面创建的密码 
Country Name (2 letter code) [AU]:CN ← 国家代号,中国输入CN 
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名,拼音 
Locality Name (eg, city) []:BeiJing ← 市的全名,拼音 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名 
Organizational Unit Name (eg, section) []: ← 可以不输入 
Common Name (eg, YOUR name) []: ← 域名(没有则输入 0.0.0.0) 
Email Address []:admin@mycompany.com ← 电子邮箱,可随意填
Please enter the following ‘extra’ attributes 
to be sent with your certificate request 
A challenge password []: ← 可以不输入 
An optional company name []: ← 可以不输入

生成的ssl.csr就是证书请求了. 一般来说证书请求是发给公开的CA签名, 但私有接口就没必要去CA签名了.

3.去CA机构,申请证书,需要将csr上传给CA机构。CA会根据你的申请返回一个证书给你。此时你已经有了ssl通信所需要的所有文件。目前有这么多免费的CA机构,这里就不再赘述

4.如果要生成私有的证书,可以直接用自己的私钥签名刚刚生成的证书请求:

openssl x509 -req -in ssl.csr -signkey ssl.key -out ssl.crt

nginx配置支持https

listen 443 ssl;
ssl_certificate   /etc/nginx/ssl/ssl.crt;
ssl_certificate_key  /etc/nginx/ssl/ssl.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

至此,已经可以使用https访问你的网站了

生成更多的证书

不过如果需要签更多证书请求或者要使用CA证书的话, 就需要自己生成私有CA证书:

openssl x509 -req -in ssl.csr -extensions v3_ca -signkey ssl.key -out sign.crt

用CA证书给自己的证书请求签名:

openssl x509 -req -in ssl.csr -extensions v3_usr -CA sign.crt -CAkey ssl.key -CAcreateserial -days 3650 -out ssl.crt

客户端信任证书

如果证书是私有证书, 客户端要信任证书需要做一些操作. 如果是浏览器, 直接根据浏览器的步骤信任证书即可. 本人使用的是requests模块, 信任证书需要在发起请求(get 或 post)时添加verify参数, 值为证书的CA_BUNDLE. CA_BUNDLE可以在服务器端生成, 不过要传给客户端比较麻烦. 本人直接使用firefox浏览器导出证书(x.509含链证书), 并在请求时添加即可:
requests.get('https://exaple.com', verify='ca.crt')

验证客户端请求

HTTPS虽然也有验证客户端证书的方式, 但为每个请求的客户端配置证书比较麻烦, 且也不是所有服务器程序都支持验证客户端证书.
本人使用的验证方式为客户端请求多添加一个参数, 参数值为修改版的TOTP与MD5结合. 具体算法自行定义即可, 只要满足:

允许一定的时间误差;

不容易被猜测出算法;

方便修改算法密钥