ssl（https）介绍、实验环境生成密钥对、nginx配置SSL、https

xingyu655

ssl原理

http与https区别

　　http默认端口为80，https默认端口为443；
　　http传输数据为明文，https传输数据是加密的；

　　http是HTTP协议运行在TCP之上。所有传输的内容都是明文，客户端和服务器端都无法验证对方的身份；
　　https是HTTP运行在SSL/TLS之上，SSL/TLS运行在TCP之上。所有传输的内容都经过加密，加密采用对称加密，但对称加密的密钥用服务器方的证书进行了非对称加密。此外客户端可以验证服务器端的身份，如果配置了客户端验证，服务器方也可以验证客户端的身份。

https工作流程

　　1.完成TCP三次同步握手
　　2.客户端验证服务器的证书，通过，进入步骤3
　　3.DH算法协商对称加密算法的秘钥、hash算法的秘钥
　　4.SSL安全加密碎到协商完成；
　　5.网页用加密方式传输，用协商的加密算法加密，保证数据完整和不被篡改；

生成ssl密钥对
　　正常的网站https使用的ssl证书是需要购买的，我们做实验就只需要自己生成一个就行了，但是无法在网络上流通；

下载openssl生成软件
　　

yum install -y openssl　　

进入密钥对目录
　　设置秘钥防止目录
　　

cd /usr/local/nginx/conf/　　

生成私钥
　　注意这里要求设置密码
　　

openssl genrsa -des3 -out tmp.key 2048　　

转换为无密码的私钥
　　注意：这里会提示要求输入老私钥文件tmp.key的密码；
　　

openssl rsa -in tmp.key -out test.key　　

　　
删除老的私钥
　　
rm -rf tmp.key
　　

生成证书请求文件
　　需要设置详细信息，可以直接回车默认
　　

openssl req -new -key test.key -out test.csr　　

设置公钥有效期，生成公钥
　　

openssl x509 -req -days 365 -in test.csr -signkey test.key -out test.crt　　

　　

　　注意：test.crt才是公钥，test.csr只是请求文件，test.key是私钥；

nginx配置SSL

创建ssl配置文件
　　

vim /usr/local/nginx/conf/vhost/ssl.conf　　

　　代码
　　

server　　
{
　　listen 443;                         //设置端口为443
　　server_name shu.com;                //设置网站域名为shu.com
　　index index.html index.php;
　　root /data/wwwroot/shu.com;         //设置web的站点目录
　　ssl on;                             //开启ssl功能
　　ssl_certificate test.crt;           //指定公钥名字
　　ssl_certificate_key test.key;       //指定私钥名字
　　ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
　　
}
　　

检测与生效
　　

/usr/local/nginx/sbin/nginx -t
　　
/usr/local/nginx/sbin/nginx -s>　　

测试
　　查看监听端口，有443则成功
　　

netstat -lntp　　

　　使用https://shu.com访问，成功；

ssl错误处理：
　　在-t检测时，错误提示
　　

nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/vhost/ssl.conf:7　　
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed
　　

　　
提示：nginx不支持ssl，这是因为我们编译安装nginx时是最简单的模式编译的，没有指定ssl；
　　

思路：
　　重新编译安装nginx

查看nginx之前编译的参数
　　

/usr/local/nginx/sbin/nginx -V　　

nginx version: nginx/1.12.2　　
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)
　　
configure arguments: --prefix=/usr/local/nginx
　　

进入源码包
　　

cd /usr/local/src/nginx-1.12.2/　　

查询ssl需要增加配置
　　

./configure --help |grep -i ssl　　

　　
结果为：--with-http_ssl_module
　　

重新编译nginx
　　

./configure --prefix=/usr/local/nginx --with-http_ssl_module　　
make && make install
　　

重启nginx服务
　　

/etc/init.d/nginx restart