Windows下Nginx配置SSL实现Https访问(包含证书生成) Windows下Nginx配置SSL实现Https访问(包含证书生成) 首先要说明为什么要实现https? HTTP 我就是我 2022-06-14 05:17 143阅读 0赞 ## [Windows下Nginx配置SSL实现Https访问(包含证书生成)][Windows_Nginx_SSL_Https] ## Windows下Nginx配置SSL实现Https访问(包含证书生成) 首先要说明为什么要实现https? HTTP全名超文本传输协议,客户端据此获取服务器上的超文本内容。超文本内容则以HTML为主,客户端拿到HTML内容后可根据规范进行解析呈现。因此,HTTP主要负责的是“内容的请求和获取”。问题就出在这部分。行监控、劫持、阻挡等行为很容易导致网站泄密,一些关键参数比如登录密码开发者会在客户端进行MD5加密,不过互联网所承载的机密信息远不只是密码,搜索内容同样属于敏感信息。现如今,百度、谷歌、Github等网站已经全站启用https,https就像是给网站上了一个“锁”,HTTPS做的就是给请求加密,让其对用户更加安全。对于自身而言除了保障用户利益外,还可避免本属于自己的流量被挟持,以保护自身利益。所以在我看来,终有一天HTTPS会实现全网普及。 下面进入正题。 说明:此教程适合已经配置好WNMP环境,并配置Virtualhost实现多站点的同学。如果您尚未配置,请参照我之前的文章进行配置。 实现Https首先需要向管理机构申请证书,而我们此次由于是练习目的,所以通过Openssl自己生成证书。首先我们需要用到生成证书的Openssl软件。 步骤: 1. 安装Openssl 下载地址:[http://slproweb.com/products/Win32OpenSSL.html][http_slproweb.com_products_Win32OpenSSL.html] (根据系统选择32位或者64位版本下载安装)。 下载完成后,进行安装,我安装在了 C:\\wnmp\\OpenSSL-Win64文件夹中。 2. 安装ActivePerl (此软件目的为了解析pl文件,部分系统不安装也可以实现本教程的功能,安装该软件目的为了学习perl)。 下载地址:[http://www.activestate.com/activeperl/downloads/ ][http_www.activestate.com_activeperl_downloads] (根据系统选择win32或者win64版本下载安装)。 3. 配置环境变量 在环境变量中添加环境变量 变量名: OPENSSL\_HOME 变量值:C:\\wnmp\\OpenSSL-Win64\\bin; (变量值为openssl安装位置) 在path变量结尾添加如下 : %OPENSSL\_HOME%; 4. 生成证书 (1) 首先在 nginx安装目录中创建ssl文件夹用于存放证书。比如我的文件目录为 C:\\wnmp\\nginx\\ssl 以管理员身份进入命令行模式,进入ssl文件夹。 命令为: cd c:/wnmp/nginx/ssl (2) 创建私钥 在命令行中执行命令: openssl genrsa -des3 -out lee.key 1024 (lee文件名可以自定义),如下图所示: ![844352-20160907224828051-420516602.png][] 输入密码后,再次重复输入确认密码。记住此密码,后面会用到。 (3)创建csr证书 在命令行中执行命令: openssl req -new -key lee.key -out lee.csr (key文件为刚才生成的文件,lee为自定义文件名) ![844352-20160907225201738-1540923123.png][] 如上图所示,执行上述命令后,需要输入信息。输入的信息中最重要的为 Common Name,这里输入的域名即为我们要使用https访问的域名。 以上步骤完成后,ssl文件夹内出现两个文件:![844352-20160907225449613-1993871809.png][] (4)去除密码。 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令,否则会在启动nginx的时候需要输入密码。 复制lee.key并重命名为lee.key.org 可以使用此命令行,也可以使用鼠标操作 copy lee.key lee.key.org 去除口令,在命令行中执行此命令: openssl rsa -in lee.key.org -out lee.key (lee为自定义文件名) 如下图所示,此命令需要输入刚才设置的密码。 ![844352-20160907225931629-1434233040.png][] (5)生成crt证书 在命令行中执行此命令: openssl x509 -req -days 365 -in lee.csr -signkey lee.key -out lee.crt (lee为自定义文件名) ![844352-20160907230105504-1874769271.png][] 证书生成完毕,ssl文件夹中一共生成如下4个文件,我们需要使用到的是lee.crt和lee.key。 ![844352-20160907230134707-1345377777.png][] 5. 修改nginx.conf文件 nginx.conf文件位于:C:\\wnmp\\nginx\\conf 找到该文件中如下代码的位置进行修改: 保证本机的端口不被占用 443 和 80 ![复制代码][copycode.gif] ![复制代码][copycode.gif] # HTTPS server # #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} ![复制代码][copycode.gif] ![复制代码][copycode.gif] 修改为: ![复制代码][copycode.gif] ![复制代码][copycode.gif] # HTTPS server # #modify by lee 20160907 for https -s server { listen 443 ssl; server_name www.lee.com; ssl_certificate C:/wnmp/nginx/ssl/lee.crt; ssl_certificate_key C:/wnmp/nginx/ssl/lee.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root C:/wnmp/lee; index index.html index.htm index.php; } root C:/wnmp/lee; fastcgi_pass 127.0.0.1:9001; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } } #modify by lee 20160907 for https -s ![复制代码][copycode.gif] ![复制代码][copycode.gif] 重启nginx。 在浏览器中,访问 https://www.lee.com。发现出现证书认证,并能够成功访问。(www.lee.com为生成证书时,Common Name输入的域名) (执行此步骤时,需要配置好Virtual Host,并且在www.lee.com开放目录中添加了index.php默认入口访问文件。) ![844352-20160907232253410-1811674172.png][] 上面的https被红色划线是因为我们使用的是自己生成的证书,此证书不受浏览器信任,如果想使其变为绿色,则需要向证书管理机构进行申请。 6. 添加重定向,自动跳转使用https。 在nginx.conf中virtual host中如下代码位置添加一行代码: listen 80; server_name www.lee.com; #modify by lee 20160907 for https Redirect -s rewrite ^(.*) https://$server_name$1 permanent; #modify by lee 20160907 for https Redirect -e 重启nginx。 访问www.lee.com,会发现浏览器自动跳转到https://www.lee.com,并能够成功访问。 至此,https访问配置成功完成。 如有不明之处,欢迎留言,如有错误敬请指正。 参考: http://blog.csdn.net/ztclx2010/article/details/6896336 下面这个是 我用的 openssl http://files.cnblogs.com/files/developer-ios/AMD64-Win64OpenSSL-0\_9\_8g.zip [Windows_Nginx_SSL_Https]: http://www.cnblogs.com/vincent-li666/p/5851463.html [http_slproweb.com_products_Win32OpenSSL.html]: http://slproweb.com/products/Win32OpenSSL.html [http_www.activestate.com_activeperl_downloads]: http://www.activestate.com/activeperl/downloads/%20 [844352-20160907224828051-420516602.png]: /images/20220614/fe87cc27e4d84ec3944de661560fea83.png [844352-20160907225201738-1540923123.png]: /images/20220614/3d96e2cb78814082b9afca07429c9b64.png [844352-20160907225449613-1993871809.png]: /images/20220614/a5625dd0a21744828afd996d556f147c.png [844352-20160907225931629-1434233040.png]: /images/20220614/004fb92897414afc824808cf86aa718c.png [844352-20160907230105504-1874769271.png]: /images/20220614/90d7d39f048c466aa1346be10450083e.png [844352-20160907230134707-1345377777.png]: /images/20220614/7690d440f0e449f5af38dc1071a56cf4.png [copycode.gif]: /images/20220614/28d1c70f0a0b41d99fc6a166ddb71e87.png [844352-20160907232253410-1811674172.png]: /images/20220614/d4ef92ec4fb74428b703b76f741dd51a.png
还没有评论,来说两句吧...