摘要:代碼示例在配置如下信息生成的配置信息如下參考網(wǎng)站
轉(zhuǎn)載請(qǐng)注明出處 http://www.paraller.com
原文排版地址 點(diǎn)擊跳轉(zhuǎn)
https證書(shū)的配置
生成Key文件
書(shū)申請(qǐng)者私鑰文件�,和證書(shū)里面的公鑰配對(duì)使用,
在 HTTPS 『握手』通訊過(guò)程需要使用私鑰去解密客戶端發(fā)來(lái)的經(jīng)過(guò)證書(shū)公鑰加密的隨機(jī)數(shù)信息����,是 HTTPS 加密通訊過(guò)程非常重要的文件,在配置 HTTPS 的時(shí)候要用到
生成CSR文件
CSR :Cerificate Signing Request��,證書(shū)簽署請(qǐng)求文件���,里面包含申請(qǐng)者的 DN(Distinguished Name����,標(biāo)識(shí)名)和公鑰信息��,在第三方證書(shū)頒發(fā)機(jī)構(gòu)簽署證書(shū)的時(shí)候需要提供�����。
證書(shū)頒發(fā)機(jī)構(gòu)拿到 CSR 后使用其根證書(shū)私鑰對(duì)證書(shū)進(jìn)行加密并生成 CRT 證書(shū)文件,里面包含證書(shū)加密信息以及申請(qǐng)者的 DN 及公鑰信息
生成crt文件
前往亞狐的網(wǎng)站�����,查看證書(shū)信息���,找到
SSL證書(shū)文件Server Certificate
中級(jí)證書(shū)文件Intermediate Certificate
根證書(shū)文件Root Certificate
復(fù)制在同一個(gè)文件中�,以 domain.crt文件命名
擴(kuò)展:
我們一般常見(jiàn)的證書(shū)鏈分為兩種:
二級(jí)證書(shū):直接由 受信任的根證書(shū)頒發(fā)機(jī)構(gòu) 頒發(fā)的證書(shū)(CRT 文件)��,由于這種情況下一旦 Root CA 證書(shū)遭到破壞或者泄露����,提供這個(gè) Certificate Authority 的機(jī)構(gòu)之前頒發(fā)的證書(shū)就全部失去安全性了�����,需要全部換掉��,對(duì)這個(gè) CA 也是毀滅性打擊���,現(xiàn)在主流的商業(yè) CA 都提供三級(jí)證書(shū)��。
三級(jí)證書(shū):由 受信任的根證書(shū)頒發(fā)機(jī)構(gòu) 下的 中級(jí)證書(shū)頒發(fā)機(jī)構(gòu) 頒發(fā)的證書(shū)�,這樣 ROOT CA 就可以離線放在一個(gè)物理隔離的安全的地方,即使這個(gè) CA 的中級(jí)證書(shū)被破壞或者泄露��,雖然后果也很嚴(yán)重���,但根證書(shū)還在��,可以再生成一個(gè)中級(jí)證書(shū)重新頒發(fā)證書(shū)�,而且這種情況對(duì) HTTPS 的性能和證書(shū)安裝過(guò)程也沒(méi)有太大影響���,這種方式也基本成為主流做法�����。
使用 OpenSSl命令可以在系統(tǒng)當(dāng)前目錄生成 example.key 和 example.csr 文件:
openssl req -new -newkey rsa:2048 -sha256 -nodes -out example_com.csr -keyout example_com.key -subj "/C=CN/ST=ShenZhen/L=ShenZhen/O=Example Inc./OU=Web Security/CN=example.com"
下面是上述命令相關(guān)字段含義:
C:Country �����,單位所在國(guó)家��,為兩位數(shù)的國(guó)家縮寫(xiě)�,如: CN 就是中國(guó)
ST 字段: State/Province �,單位所在州或省
L 字段: Locality ,單位所在城市 / 或縣區(qū)
O 字段: Organization ����,此網(wǎng)站的單位名稱;
OU 字段: Organization Unit��,下屬部門(mén)名稱;也常常用于顯示其他證書(shū)相關(guān)信息��,如證書(shū)類型���,證書(shū)產(chǎn)品名稱或身份驗(yàn)證類型或驗(yàn)證內(nèi)容等;
CN 字段: Common Name ,網(wǎng)站的域名;
生成 csr 文件后�����,提供給 CA 機(jī)構(gòu)�,簽署成功后,就會(huì)得到一個(gè) example.crt 證書(shū)文件��,SSL 證書(shū)文件獲得后����,就可以在 Nginx 配置文件里配置 HTTPS 了�。
代碼示例
在docker-compose.yml 配置如下信息:
nginx2:
restart: always
image: nginx:latest
volumes:
- /etc/localtime:/etc/localtime:ro
- /etc/timezone:/etc/timezone:ro
- /var/run/docker.sock:/tmp/docker.sock:ro
- ./certs:/etc/nginx/certs
- ./nginx:/etc/nginx/conf.d
ports:
- "127.0.0.1:8877:80"
生成的Nginx配置信息如下:
server {
server_name www.paraller.com;
listen 443 ssl http2 ;
access_log /var/log/nginx/access.log vhost;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";
ssl_prefer_server_ciphers on;
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_certificate /etc/nginx/certs/yeamoney.cn.crt;
ssl_certificate_key /etc/nginx/certs/yeamoney.cn.key;
add_header Strict-Transport-Security "max-age=31536000";
location ^~ /socket.io/ {
return 301;
}
location / {
proxy_pass http://www.paraller.cn;
proxy_connect_timeout 20;
proxy_read_timeout 20;
proxy_send_timeout 20;
proxy_ignore_client_abort on;
}
}
參考網(wǎng)站
https://aotu.io/notes/2016/08...
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/11305.html
