当前位置: 移动技术网 > 网络运营>服务器>Linux > PHP程序员玩转Linux系列 Nginx中的HTTPS详解

PHP程序员玩转Linux系列 Nginx中的HTTPS详解

2019年04月23日  | 移动技术网网络运营  | 我要评论

php程序员玩转linux系列文章:

1.php程序员玩转linux系列-怎么安装使用centos

2.php程序员玩转linux系列-lnmp环境的搭建

3.php程序员玩转linux系列-搭建ftp代码开发环境

4.php程序员玩转linux系列-备份还原mysql

5.php程序员玩转linux系列-自动备份与svn

6.php程序员玩转linux系列-linux和windows安装nginx

7.php程序员玩转linux系列-nginx初学者引导

创建一个https服务器

在nginx.conf配置文件中,在server块里面通过listen指令指定ssl的参数,设置好服务器证书和私钥文件的路径

server {
 listen    443 ssl;
 server_name   www.example.com;
 ssl_certificate  www.example.com.crt;
 ssl_certificate_key www.example.com.key;
 ssl_protocols  tlsv1 tlsv1.1 tlsv1.2;
 ssl_ciphers   high:!anull:!md5;
 ...
}

服务器证书是一个公开实体,它会被发送给每一个连接过来的客户端.私钥是一个安全实体,它应该被存储在一个限制权限的文件中.但是nginx的master进程必须能够读到该私钥文件. 私钥也可以和证书放在一个文件里面.

ssl_certificate www.example.com.cert;
ssl_certificate_key www.example.com.cert;

在这个例子里面,文件的访问权限应该被限制.尽管证书和私钥在一个文件里面,只有证书会被发送给客户端.

ssl_protocolsssl_ciphers 指令可以被用来限制连接,只包含高版本的tls和ssl/tls的密码

从nginx 1.0.5版本开始,nginx默认使用ssl_protocols sslv3 tlsv1ssl_ciphers high:!anull:!md5.从nginx 1.1.13 和 1.0.12 版本开始,默认更新成了 ssl_protocols sslv3 tlsv1 tlsv1.1 tlsv1.2 

一个单一的http和https服务

可以配置一个服务同时支持http和https请求, 在虚拟主机中使用listen指令,一个带着ssl参数,一个不带参数.

server {
 listen    80;
 listen    443 ssl;
 server_name   www.example.com;
 ssl_certificate  www.example.com.crt;
 ssl_certificate_key www.example.com.key;
 ...
}

在nginx 0.7.13和更早的版本中,ssl不能被单独设置监听socket.只能通过ssl指令为全部server开启ssl,才能实现http/https同时支持.为了解决这一问题,为listen指令添加了ssl参数.因此在0.7.14和之后的版本中,ssl指令不能再用了.  

基于名称的https服务

一个很普遍的问题出现了,那就是解决当在一个ip地址配置监听两个或多个https服务.

server {
 listen   443 ssl;
 server_name  www.example.com;
 ssl_certificate www.example.com.crt;
 ...
}
 
server {
 listen   443 ssl;
 server_name  www.example.org;
 ssl_certificate www.example.org.crt;
 ...
}

使用这个配置,浏览器只能接收到默认的证书,在这个例子中就是www.example.com证书.这个是因为ssl协议本身造成的.ssl的连接是在浏览器发送http请求之前建立的,因此nginx不知道请求的名称.所以它只能提供默认服务的证书.

解决这一问题最好的方式是分配不同的ip地址给每一个https服务

server {
 listen   192.168.1.1:443 ssl;
 server_name  www.example.com;
 ssl_certificate www.example.com.crt;
 ...
}
 
server {
 listen   192.168.1.2:443 ssl;
 server_name  www.example.org;
 ssl_certificate www.example.org.crt;
 ...
}

使用多个名称生成ssl证书

这里有其他的方式解决上面的问题,但是每一种都有各自的缺点.一种方式是生成证书的时候更改subjectaltname字段,比如: www.example.com www.example.org 两个,但是这个字段有长度限制.

另一种方式是证书名称那里使用通配符,比如: *.example.org,但是 通配符名称只能用在一级子域名上.这个名称可以匹配www.example.org ,但是不能匹配example.orgwww.sub.example.org

这两种方式可以结合起来,在subjectaltname字段里填上 example.org *.example.org

最好把多域名证书和私钥放在配置http块中,这样所有的服务都可以继承这个配置

ssl_certificate  common.crt;
ssl_certificate_key common.key;
 
server {
 listen   443 ssl;
 server_name  www.example.com;
 ...
}
 
server {
 listen   443 ssl;
 server_name  www.example.org;
 ...
}

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持移动技术网。

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网