Nginx之HTTPS 1. HTTPS安全證書基本概述 為什麼需要使用HTTPS,因為HTTP不安全,當我們使用http網站時,會遭到劫持和篡改,如果採用https協議,那麼數據在傳輸過程中是加密的,所以黑客無法竊取或者篡改數據報文信息,同時也避免網站傳輸時信息泄露。 那麼我們在實現https時, ...
Nginx之HTTPS
1. HTTPS安全證書基本概述
為什麼需要使用HTTPS,因為HTTP不安全,當我們使用http網站時,會遭到劫持和篡改,如果採用https協議,那麼數據在傳輸過程中是加密的,所以黑客無法竊取或者篡改數據報文信息,同時也避免網站傳輸時信息泄露。
那麼我們在實現https時,需要瞭解ssl協議,但我們現在使用的更多的是TLS加密協議。
那麼TLS是怎麼保證明文消息被加密的呢?在OSI七層模型中,應用層是http協議,那麼在應用層協議之下,我們的表示層,是ssl協議所發揮作用的一層,他通過(握手、交換秘鑰、告警、加密)等方式,是應用層http協議沒有感知的情況下做到了數據的安全加密
那麼在數據進行加密與解密過程中,如何確定雙方的身份,此時就需要有一個權威機構來驗證雙方身份,那麼這個權威機構就是CA機構,那麼CA機構又是如何頒發證書
我們首先需要申請證書,先去登記機構進行身份登記,我是誰,我是幹嘛的,我想做什麼,然後登記機構再通過CSR發給CA,CA中心通過後會生成一堆公鑰和私鑰,公鑰會在CA證書鏈中保存,公鑰和私鑰證書我們拿到後,會將其部署在WEB伺服器上
1.當瀏覽器訪問我們的https站點時,他回去請求我們的證書
2.Nginx這樣的web伺服器會將我們的公鑰證書發給瀏覽器
3.瀏覽器會去驗證我們的證書是否合法有效
4.CA機構會將過期的證書放置在CRL伺服器,CRL服務的驗證效率是非常差的,所以CA有推出了OCSP響應程式,OCSP響應程式可以查詢指定的一個證書是否過去,所以瀏覽器可以直接查詢OSCP響應程式,但OSCP響應程式性能還不是很高
5.Nginx會有一個OCSP的開關,當我們開啟後,Nginx會主動上OCSP上查詢,這樣大量的客戶端直接從Nginx獲取證書是否有效
流程:
1、瀏覽器發起往伺服器的443埠發起請求,請求攜帶了瀏覽器支持的加密演算法和哈希演算法。
2、伺服器收到請求,選擇瀏覽器支持的加密演算法和哈希演算法。
3、伺服器下將數字證書返回給瀏覽器,這裡的數字證書可以是向某個可靠機構申請的,也可以是自製的。
4、瀏覽器進入數字證書認證環節,這一部分是瀏覽器內置的TLS完成的:
4.1 首先瀏覽器會從內置的證書列表中索引,找到伺服器下發證書對應的機構,如果沒有找到,此時就會提示用戶該證書是不是由權威機構頒發,是不可信任的。如果查到了對應的機構,則取出該機構頒發的公鑰。
4.2 用機構的證書公鑰解密得到證書的內容和證書簽名,內容包括網站的網址、網站的公鑰、證書的有效期等。瀏覽器會先驗證證書簽名的合法性(驗證過程類似上面Bob和Susan的通信)。簽名通過後,瀏覽器驗證證書記錄的網址是否和當前網址是一致的,不一致會提示用戶。如果網址一致會檢查證書有效期,證書過期了也會提示用戶。這些都通過認證時,瀏覽器就可以安全使用證書中的網站公鑰了。
4.3 瀏覽器生成一個隨機數R,並使用網站公鑰對R進行加密。
5、瀏覽器將加密的R傳送給伺服器。
6、伺服器用自己的私鑰解密得到R。
7、伺服器以R為密鑰使用了對稱加密演算法加密網頁內容並傳輸給瀏覽器。
8、瀏覽器以R為密鑰使用之前約定好的解密演算法獲取網頁內容。
1.1 模擬伺服器篡改內容
1.1.1 配置目標網站nginx
[root@web01 conf.d]# cat test.conf
server {
listen 80;
server_name www.haoda.com;
root /data/code;
index index.html;
charset utf-8;
}1.1.2 配置網頁
[root@web01 conf.d]# cat /data/code/index.html
<h1>標題一</h1>
<h2>標題二</h2>
<h3>標題三</h3>
<h4>標題四</h4>
<h5>標題五</h5>1.1.3 訪問頁面查看
1.1.4 配置攔截伺服器
[root@web02 conf.d]# cat lanjie.conf
upstream lanjie {
server 172.16.1.7:80;
}
server {
listen 80;
server_name www.haoda.com;
location / {
proxy_pass http://lanjie;
proxy_set_header Host $http_host;
sub_filter '<h3>' '<h1>';
sub_filter '</h3>' '</h1>';
}
}1.1.5 瀏覽器驗證篡改
1.1.6 篡改添加廣告配置
[root@web02 conf.d]# cat lanjie.conf
upstream lanjie {
server 172.16.1.7:80;
}
server {
listen 80;
server_name www.haoda.com;
location / {
sub_filter '<h3>' '<img src="http://img5.imgtn.bdimg.com/it/u=2318812076,766139919&fm=26&gp=0.jpg">';
proxy_pass http://lanjie;
proxy_set_header Host $http_host;
}
}1.2 那麼證書是怎樣組成的呢,接下來我們看一下證書的幾種類型
| 對比 | 功能變數名稱型 DV | 企業型 OV | 增強型 EV |
|---|---|---|---|
| 綠色地址欄 |  小鎖標記+https |
 小鎖標記+https |
 小鎖標記+企業名稱+https |
| 一般用途 | 個人站點和應用; 簡單的https加密需求 | 電子商務站點和應用; 中小型企業站點 | 大型金融平臺; 大型企業和政府機構站點 |
| 審核內容 | 功能變數名稱所有權驗證 | 全面的企業身份驗證; 功能變數名稱所有權驗證 | 最高等級的企業身份驗證; 功能變數名稱所有權驗證 |
| 頒發時長 | 10分鐘-24小時 | 3-5個工作日 | 5-7個工作日 |
| 單次申請年限 | 1年 | 1-2年 | 1-2年 |
| 賠付保障金 | —— | 125-175萬美金 | 150-175萬美金 |
1.3 HTTPS證書購買選擇
保護一個功能變數名稱 www
保護五個功能變數名稱 www images cdn test m
通配符功能變數名稱 *.haoda.com
HTTPS註意事項:
https不支持續費,證書到期需要重新申請併進行替換 https不支持三級功能變數名稱解析,如 test.m.haoda.com https顯示綠色,說明整個網站的url都是https的 https顯示黃色,因為網站代碼中包含http的不安全鏈接 https顯示紅色,那麼證書是假的或者證書過期。
2. Nginx單台實現HTTPS實戰
2.1 環境準備
#nginx必須有ssl模塊
[root@web03 ~]# nginx -V
--with-http_ssl_module
#創建存放ssl證書的路徑
[root@web03 ~]# mkdir -p /etc/nginx/ssl_key
[root@web03 ~]# cd /etc/nginx/ssl_key2.2 使用openssl命令充當CA權威機構創建證書(生產不使用此方式生成證書,不被互聯網認可的黑戶證書)
[root@web03 ssl_key]# openssl genrsa -idea -out server.key 2048
Generating RSA private key, 2048 bit long modulus
...............................................+++
............................................+++
e is 65537 (0x10001)
#密碼暫時使用1234
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
[root@web03 ssl_key]# ls
server.key2.3 生成自簽證書,同時去掉私鑰的密碼
[root@web03 ssl_key]# openssl req -days 36500 -x509 \
-sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
Generating a 2048 bit RSA private key
..................................................................................................+++
...................................................................................................+++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:chinese^H^H
string is too long, it needs to be less than 2 bytes long
Country Name (2 letter code) [XX]:ch
State or Province Name (full name) []:cha^H^[[A^[[B
Locality Name (eg, city) [Default City]:beijin
Organization Name (eg, company) [Default Company Ltd]:shiwei
Organizational Unit Name (eg, section) []:yunwei
Common Name (eg, your name or your server's hostname) []:haoda.com
Email Address []:[email protected]
# req --> 用於創建新的證書
# new --> 表示創建的是新證書
# x509 --> 表示定義證書的格式為標準格式
# key --> 表示調用的私鑰文件信息
# out --> 表示輸出證書文件信息
# days --> 表示證書的有效期2.4 證書申請完成後需要瞭解Nginx如何配置https
#啟動ssl功能
Syntax: ssl on | off;
Default: ssl off;
Context: http,server
#證書文件
Syntax: ssl_certificate file;
Default: -
Context: http,server
#私鑰文件
Syntax: ssl_certificate_key fil;
Default: -
Context: http,server2.5 Nginx配置https實例
[root@web03 conf.d]# cat ssl.conf
server {
listen 443 ssl;
server_name s.haoda.com;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
root /code;
index index.html;
}
}
#配置將用戶訪問http請求強制跳轉https
server {
listen 80;
server_name s.haoda.com;
return 302 https://$server_name$request_uri;
}
#準備對應的站點目錄,並重啟Nginx
[root@web03 conf.d]# echo "Https" > /code/index.html
[root@web03 conf.d]# nginx -s reload2.6 瀏覽器訪問測試
3. Nginx集群實現HTTPS實踐
實戰Nginx負載均衡+Nginx WEB配置HTTPS安全
3.1 環境準備
| 主機名 | 外網IP(NAT) | 內網IP(LAN) | 角色 |
|---|---|---|---|
| lb01 | 10.0.0.5 | 172.16.1.5 | 負載均衡 |
| web02 | 10.0.0.8 | 172.16.1.8 | web伺服器 |
| web03 | 10.0.0.9 | 172.16.1.9 | web伺服器 |
3.2 配置web02、web03伺服器監聽80埠
[root@web02 conf.d]# cat ssl.conf
server {
listen 80;
server_name s.haoda.com;
location / {
root /code;
index index.html;
}
}
#web03配置相同3.3 把證書直接拿到lb伺服器
[root@lb01 conf.d]# cd ..
[root@lb01 nginx]# scp -rp 172.16.1.9:/etc/nginx/ssl_key ./3.4 配置lb01的nginx配置
[root@lb01 conf.d]# cat proxy_ssl.conf
upstream website {
server 172.16.1.8:80;
server 172.16.1.9:80;
}
server {
listen 443 ssl;
server_name s.haoda.com;
ssl_certificate ssl_key/server.crt; #編寫
ssl_certificate_key ssl_key/server.key; 私鑰
location / {
proxy_pass http://website;
proxy_set_header Host $http_host;
}
}
server {
listen 80;
server_name s.haoda.com;
return 302 https://$server_name$request_uri;
}3.5 瀏覽器訪問查看
4. 真實業務場景實現HTTPS實踐
4.1 配置知乎、博客對應的負載均衡lb01伺服器的配置
[root@lb01 conf.d]# cat proxy_haoda.conf
upstream blog {
server 172.16.1.7:80;
server 172.16.1.8:80;
}
upstream zh {
server 172.16.1.7:80;
server 172.16.1.8:80;
}
#用戶的http請求跳轉至https
server {
listen 80;
server_name blog.haoda.com;
return 302 https://$server_name$request_uri;
}
server {
listen 80;
server_name zh.haoda.com;
return 302 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name blog.haoda.com;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
proxy_pass http://blog;
include proxy_params;
}
}
server {
listen 443 ssl;
server_name zh.haoda.com;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
proxy_pass http://zh;
include proxy_params;
}
}
#重啟負載nginx
[root@lb01 conf.d]# nginx -s reload4.2 瀏覽器查看效果
4.3 修正亂碼效果,配置知乎、博客對應的web伺服器的配置
#負載訪問使用的https後端web使用的是http,對於PHP來說他並不知道用的到底是什麼所以會出現錯誤;
#修正該問題配置
[root@web01 conf.d]# cat zh.conf
server {
listen 80;
server_name zh.haoda.com;
root /code/zh;
index index.php index.html;
location ~ \.php$ {
root /code/zh;
fastcgi_pass 127.0.0.1:9000;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
#告訴PHP我前置的負載使用的是https協議
fastcgi_param HTTPS on;
include fastcgi_params;
}
}
[root@web02 conf.d]# cat wordpress.conf
server {
listen 80;
server_name blog.haoda.com;
root /code/wordpress;
index index.php index.html;
client_max_body_size 100m;
location ~ \.php$ {
root /code/wordpress;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param HTTPS on;
include fastcgi_params;
}
}
#重啟兩台nginx
[root@web01 conf.d]# nginx -s reload
[root@web02 conf.d]# nginx -s reload
4.4 瀏覽器再次查看效果
wordpress早期安裝如果是使用的http方式,那開啟https後會導致圖片出現破損或載入不全的情況
建議:1、在安裝WordPress之前就配置好https;2、在WordPress後臺管理頁面,設置-->常規-->修改(WordPress地址及站點地址)為 https://功能變數名稱、註意:WordPress很多鏈接在安裝時被寫入資料庫中。
4.5 配置PHPmyadmin負載均衡lb01伺服器的配置
[root@lb01 conf.d]# cat proxy_php.conf
upstream php {
server 172.16.1.7:80;
server 172.16.1.8:80;
}
server {
listen 80;
server_name php.haoda.com;
return 302 https://$server_name$request_uri;
}
server {
listen 443;
ssl on;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
server_name php.haoda.com;
location / {
proxy_pass http://php;
include proxy_params;
}
}
4.6 瀏覽器查看效果
4.7 配置PHPmyadmin的web伺服器配置
[root@web01 conf.d]# cat php.conf
server {
listen 80;
server_name php.haoda.com;
root /code/phpMyAdmin-4.9.0.1-all-languages;
location / {
index index.php index.html;
}
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param HTTPS on;
include fastcgi_params;
}
}
4.8 瀏覽器再次查看效果
小結
實現單台伺服器部署wordpress,zh,部署負載均衡,跳轉https
1)在web01和web02上安裝nginx和php
2)創建www用戶
3)修改nginx和PHP啟動用戶
4) 修改配置文件
5)部署資料庫
6)登錄瀏覽器wordpress修改
7)下載證書
8)部署負載均衡
