摘要:證書生成完畢后����,可以在中找到四配置當(dāng)用訪問時重定向至重啟服務(wù),即可使用訪問該網(wǎng)站五其他自動更新證書證書只有天的有效期�����,所以在證書到期之前��,我們需要重新獲取這些證書���,可以使用這個命令�����。
一��、Nginx基礎(chǔ)
1.概念:
Nginx是一款輕量級的Web服務(wù)器����、反向代理服務(wù)器及電子郵件(IMAP/POP3)代理服務(wù)器�。
正向代理服務(wù)器:一般作用在客戶端���,位于客戶端和服務(wù)器之間,客戶端發(fā)送請求到代理����,代理將請求發(fā)送到服務(wù)器,服務(wù)器返回的響應(yīng)也經(jīng)由代理到客戶端���?�?蛻舳吮仨氁M行一些特別的設(shè)置才能使用正向代理�,正向代理允許客戶端通過它訪問任意網(wǎng)站并且隱藏客戶端自身����。
反向代理服務(wù)器:作用在服務(wù)器端,它在服務(wù)器端接收客戶端的請求��,然后將請求分發(fā)給具體的服務(wù)器進行處理���,然后再將服務(wù)器的相應(yīng)結(jié)果反饋給客戶端�����。
二�、Https基礎(chǔ)
1.概念
Http(超文本傳輸協(xié)議)被用于瀏覽器和web 服務(wù)器之間傳遞消息����,http協(xié)議以明文方式發(fā)送內(nèi)容,不提供任何方式的數(shù)據(jù)加密���,因此攻擊者可以截取傳輸報文獲取信息���。
為了數(shù)據(jù)傳輸?shù)陌踩趆ttp的基礎(chǔ)上加入了ssl協(xié)議就成了https協(xié)議��,ssl依靠證書來驗證服務(wù)器的身份��,并為瀏覽器和服務(wù)器之間的通信加密�����。
2.SSL——Secure Sockets Layer安全套接層
SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間�,可分為兩層:
(1)SSL記錄協(xié)議(SSL Record Protocol):它建立在可靠的傳輸協(xié)議(如TCP)上,為高層協(xié)議提供數(shù)據(jù)封裝���、壓縮�����、加密等基本功能的支持��。
(2)SSL握手協(xié)議(SSL Handshake Protocol):它建立在SSL記錄協(xié)議上����,用于在實際的數(shù)據(jù)傳輸開始前,通訊雙方進行身份驗證�����、協(xié)商加密算法�����、交換加密密鑰等����。
三、獲取免費證書
1.概念
采用Https的服務(wù)器必須從證書頒發(fā)機構(gòu)CA(Certificate Authority)申請一個用于證明服務(wù)器用途類型的證書���,有收費的也有免費的��,也可以通過OpenSSL自己造一個證書����,不過瀏覽器是不信任你自己造的證書的,在訪問時����,會提醒”您的連接不是私密連接“�����,在這我們使用的是Let"s Encrypt免費證書�����。
2.獲取步驟
(1) 安裝Let"s Encrypt推薦獲取證書的客戶端 Certbot
sudo apt-get install certbot
(2)獲取證書(兩種模式)
--webroot模式
certbot certonly --webroot /var/www/example -d example.com -d www.example.com
這個命令會為 example.com 和 www.example.com 這兩個域名生成一個證書����,會在 /var/www/example 中創(chuàng)建 .well-known 文件夾,這個文件夾里面包含了一些驗證文件���,certbot 會通過訪問 example.com/.well-known/acme-challenge 來驗證你的域名是否綁定的這個服務(wù)器�����。
--standalone模式
certbot certonly --standalone -d example.com -d www.example.com
這種模式不需要指定網(wǎng)站根目錄��,他會自動啟用服務(wù)器的443端口來驗證域名的歸屬�����,所以如果有其他服務(wù)(如nginx)占用了443端口sudo lsof -n -P|grep:443���,需要先停止這些服務(wù)��,在證書生成完畢后����,再啟用�����。
證書生成完畢后�����,可以在/etc/letsencrypt/live/example.com中找到
四�����、Nginx配置
server {
listen 443;
server_name example.com www.example.com;
ssl on;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
location / {
proxy_pass http://localhost:port/;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_read_timeout 600;
gzip on;
gzip_disable "MSIE [1-6].(?!.*SV1)";
client_max_body_size 10M;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_buffers 16 8k;
gzip_http_version 1.1;
gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript;
}
}
server{ //當(dāng)用http://...訪問時重定向至https://...
listen 80;
server_name example.com www.example.com;
return 301 https://www.example.com;
}
重啟Nginx服務(wù)����,即可使用https://www.example.com訪問該網(wǎng)站
五�����、其他
1.自動更新證書
let"s Encrypt證書只有90天的有效期�����,所以在證書到期之前,我們需要重新獲取這些證書����,可以使用certbot renew這個命令。(如果生成證書時使用--standalone模式��,更新證書時也要暫停當(dāng)前443端口運行的程序)
2.Nginx詳細(xì)配置項解析
詳見:Nginx配置文件(nginx.conf)配置詳解
3.Nginx錯誤處理
先用sudo nginx -t檢測下配置文件�����,再看下錯誤日志�,之后Google。
詳見:Nginx常見錯誤與解決辦法
5.相關(guān)命令
開啟Nginx服務(wù) sudo nginx -c /path/to/nginx.conf
重啟Nginx sudo nginx -s reload
檢測nignx配置 sudo nginx -t
暫停nginx服務(wù)
ps -ef|grep nginx 查看nginx占用的進程
sudo kill -QUIT 28478 (28478為nginx的主進程號)
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/39683.html
