nginx搭建https服务器
HTTPS 简介HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP 通道,简单来讲就是HTTP 的安全版。
HTTPS 简介
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP 通道,简单来讲就是HTTP 的安全版。即HTTP 下加入SSL 层,HTTPS 的安全基础是SSL ,因此加密的详细内容就需要SSL 。
它是一个URI scheme(抽象标识符体系),句法类同
ssl 证书
证书类型简介
要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA).CA验证证书请求及您的身份,然后将证书返回给您的安全服务器。
但是内网实现一个服务器端和客户端传输内容的加密,可以自己给自己颁发证书,只需要忽略掉浏览器不信任的警报即可!
由CA 签署的证书为您的服务器提供两个重要的功能:
∙
∙
∙ 浏览器会自动识别证书并且在不提示用户的情况下允许创建一个安全连接 当一个CA 生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。 多数支持ssl 的web 服务器都有一个CA 列表,它们的证书会被自动接受。当一个浏览器遇到一个其授权CA 并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接
生成ssl 证书
Html 代码
1. openssl genrsa -des3 -out wangzhengyi.key 2048
Html 代码
1. openssl req -new -key wangzhengyi.key -out wangzhengyi.csr
,
创建一个自己签署的CA 证书
Html 代码
1. openssl req -new -x509 -days 3650 -key wangzhengyi_nopass.key -out wangzheng
yi.crt
搭建https 虚拟主机
虚拟主机配置文件
Html 代码
,1. upstream sslfpm {
2. server 127.0.0.1:9000 weight =10 max_fails=3 fail_timeout=20s ;
3. }
4.
5. server {
6. listen 192.168.1.*:443;
7. server_name 192.168.1.*;
8.
9. #为一个server 开启ssl 支持
10. ssl on;
11. #为虚拟主机指定pem 格式的证书文件
12. ssl_certificate /home/wangzhengyi/ssl/wangzhengyi.crt;
13. #为虚拟主机指定私钥文件
14. ssl_certificate_key /home/wangzhengyi/ssl/wangzhengyi_nopass.key;
15. #客户端能够重复使用存储在缓存中的会话参数时间
16. ssl_session_timeout 5m;
17. #指定使用的ssl 协议
18. ssl_protocols SSLv3 TLSv1;
19. #指定许可的密码描述
20. ssl_ciphers ALL:!ADH:!EXPORT56:RC4 RSA: HIGH: MEDIUM: LOW: SSLv2: EXP;
21. #SSLv3和TLSv1协议的服务器密码需求优先级高于客户端密码
22. ssl_prefer_server_ciphers on;
23.
24. location / {
25. root /home/wangzhengyi/ssl/;
26. autoindex on;
27. autoindex_exact_size off;
28. autoindex_localtime on;
29. }
30. # redirect server error pages to the static page /50x.html
31. #
32. error_page 500 502 503 504 /50x.html;
33. error_page 404 /404.html;
34.
35. location = /50x.html {
36. root /usr/share/nginx/www;
37. }
38. location = /404.html {
39. root /usr/share/nginx/www;
40. }
41.
42. # proxy the PHP scripts to fpm
43. location ~ .php$ {
,44. access_log /var/log/nginx/ssl/ssl.access.log main;
45. error_log /var/log/nginx/ssl/ssl.error.log;
46. root /home/wangzhengyi/ssl/;
47. fastcgi_param HTTPS on;
48. include /etc/nginx/fastcgi_params;
49. fastcgi_pass sslfpm;
50. }
51. }
HTTPS 服务器优化
方法
SSL 操作需要消耗CPU 资源,所以在多处理器的系统,需要启动多个工作进程,而且数量需要不少于可用CPU 的个数。最消耗CPU 资源的SSL 操作是SSL 握手,有两种方法可以将每个客户端的握手操作数量降到最低:
1. 保持客户端长连接,在一个SSL 连接发送多个请求
2. 在并发的连接或者后续的连接中重用SSL 会话参数,这样可以避免SSL 握手操作。
会话缓存用于保存SSL 会话,这些缓存在工作进程间共享,可以使用ssl_session_cache指令进行配置。1M 缓存可以存放约4000个会话。默认的缓存超时时间是5m ,可以使用ssl_session_timeout加大它。
ssl_session_cache指令 Html 代码
1. 语法:ssl_session_cache off|none|builtin:size|shared:name:size
2. 使用环境:main,server
3. 缓存类型:
4. off -- 硬关闭,nginx 明确告诉客户端这个会话不可重用
5. none -- 软关闭,nginx 告诉客户端会话能够被重用,但是nginx 实际上不会重用它们
6. bultin -- openssl内置缓存,仅可用于一个工作进程. 可能导致内存碎片
7. shared -- 所有工作进程的共享缓存。(1)缓存大小用字节数指定(2)每个缓存必须拥有自己
的名称(3)同名的缓存可用于多个虚拟主机
优化示例
Html 代码
,1. #优化ssl 服务
2. ssl_session_cache shared:wzy:10m;
3. #客户端能够重复使用存储在缓存中的会话参数时间
4. ssl_session_timeout 10m;