内网自签发https 证书

HTTPS(全称:HyperText Transfer Protocol Secure)是HTTP(超文本传输协议)的安全版本。本质上,HTTPS在HTTP的基础上,通过SSL/TLS协议提供了数据加密、完整性保护和身份验证,以确保网络数据传输的安全性。HTTPS被广泛用于互联网上的安全通信,特别是在线交易和处理敏感信息时,本文以Nginx为例部署自签发https证书。

一、HTTPS的主要特点包括:

  1. 加密:HTTPS利用SSL/TLS协议在客户端和服务器之间建立加密连接,保护数据传输过程中的隐私和安全,防止数据在传输过程中被窃听或篡改。
  2. 数据完整性:确保数据在传输过程中未被篡改,保持了数据的完整性。
  3. 身份验证:通过SSL/TLS证书帮助确认服务器的真实身份,防止DNS劫持或中间人攻击等安全问题。

二、HTTPS的工作原理:

  1. 客户端发送HTTPS请求:用户在浏览器中输入一个HTTPS的URL,浏览器向服务器发送一个请求,请求建立SSL连接。
  2. 服务器响应:服务器向客户端发送其SSL证书,该证书包含服务器的公钥以及证书的颁发机构等信息。
  3. 客户端验证证书:客户端(如浏览器)验证证书的有效性,确保它是由受信任的证书颁发机构(CA)签发的,并且证书对应的域名与正在访问的域名匹配。如果证书验证通过,则继续;如果失败,将警告用户连接不安全。
  4. 密钥交换:客户端生成一个随机的对称密钥,使用服务器的公钥加密这个对称密钥,并发送给服务器。服务器使用自己的私钥解密,获取对称密钥。
  5. 加密通信:双方使用上述协商的对称密钥加密通信内容,确保数据传输的安全性。

三、为什么HTTPS如此重要:

  1. 隐私保护:HTTPS加密了用户与网站之间的所有交互,保护了用户数据的隐私。
  2. 安全性增强:通过身份验证和数据完整性校验,HTTPS减少了被中间人攻击的风险。
  3. 信任增强:网站使用HTTPS可以在浏览器地址栏显示安全锁标志,增加用户对网站的信任。
  4. 搜索引擎优化:许多搜索引擎,包括Google,对使用HTTPS的网站给予更高的排名。

四、部署HTTPS需要满足以下基本条件和步骤:

  1. 获取有效的SSL/TLS证书

    • 购买证书:你可以从许多证书颁发机构(CA)购买SSL/TLS证书,例如VeriSign、Comodo、Let’s Encrypt等。这些证书的价格和类型(如域名验证DV、组织验证OV、扩展验证EV)不同,适用于不同的需求和预算。
    • 免费证书:Let’s Encrypt提供了免费的SSL/TLS证书,适用于大多数基本需求,并且支持自动续签。这使得HTTPS更容易为各种网站所采纳。
  2. 在服务器上配置SSL/TLS证书

    • 证书的安装和配置过程会根据你的服务器软件(如Apache、Nginx、IIS等)而异。通常,你需要将获取的证书(通常是一个.crt文件)和私钥(一个.key文件)安装到服务器上,并且可能需要安装证书颁发机构的中间证书。
    • 配置过程中,你需要修改服务器的配置文件,指定证书文件和私钥文件的位置,并且可能需要指定使用的加密套件和协议版本等安全设置。
  3. 确保网站资源通过HTTPS加载

    • 确保网站上所有的资源(如图片、脚本、样式表等)都通过HTTPS而非HTTP加载,避免“混合内容”问题,这可能会导致浏览器安全警告。
    • 对于外部资源,确保链接使用HTTPS,或者考虑将它们托管在你自己的服务器上。
  4. 重定向HTTP请求到HTTPS

    • 配置服务器自动将所有HTTP请求重定向到HTTPS,确保用户即使输入了HTTP URL也能通过安全的HTTPS连接访问网站。
    • 在服务器配置中实现重定向通常很简单,例如在Apache服务器上,你可以使用.htaccess文件来设置重定向规则。
  5. 更新网站配置和第三方服务

    • 更新网站的内部链接,确保它们使用HTTPS。
    • 如果你使用了第三方服务(如社交媒体登录、在线支付网关等),请确保它们支持HTTPS,并且配置正确。
  6. 测试HTTPS配置

    • 在全面启用HTTPS之前,使用工具如Qualys SSL Labs的SSL Server Test进行全面测试,确保证书正确安装,且服务器配置符合最佳实践。

Nginx 部署本地生成https

本地生成在没有域名的情况下基于ip生成如果存在域名可以基于certbot 生成免费证书

1 检查nginx是否支持配置

nginx -V
图片

2 证书生成

ubuntu:
sudo apt-get install libssl-dev

centos:
yum install openssl
yum install openssl-devel

3 生成证书

1进入证书目录

cd /etc/nginx/sslkey
 

2创建本地私有密钥

openssl genrsa -out ssl.key 2048
 
3按提示输入即可

openssl req -new -key ssl.key -out ssl.csr
 

4创建证书crt

openssl x509 -req -days 1460 -in ssl.csr -signkey ssl.key -out ssl.crt
 

5创建证书pem

openssl dhparam -out ssl.pem 2048

4 Nginx 配置

server {
    listen       80;
    return 301 https://$host$request_uri;
}

server {
    listen 443   ssl;
    ssl_certificate                          /etc/nginx/sslkey/ssl.crt;
    ssl_certificate_key                        /etc/nginx/sslkey/ssl.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1.2;
    ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!KRB5:!aECDH:!EDH+3DES;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
}

检查配置项,并重启

nginx -t 

nginx -s reload

自签名证书是一种由服务器管理员自己创建的证书,而不是由 CA 颁发的。这种证书提供了相同级别的加密,但不提供第三方验证身份的信任。自签名证书通常用于内部网络、测试环境或其他不需要公众信任的场景。使用自签名证书的主要问题是浏览器会警告用户这个证书不受信任,因为它没有由已知的 CA 颁发。用户需要手动添加一个例外或信任该证书,才能访问网站。

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/58711.html

Like (0)
速盾高防cdn的头像速盾高防cdn
Previous 2024年5月16日
Next 2024年5月16日

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注