9012年了，再不會Https就老了

前言  

       合格的web後端程序員，在開發之外，必須給IIS、Nginx、各種原生web服務器上配置Https，不然你就僅僅是個碼農，本博最近將專題記錄

• 如何為IIS，Nginx配置Https

• 如何申請適用於生產的免費SSL證書

本博客小試牛刀，先實操在Nginx for Docker上添加自簽名SSL證書

為啥先倒騰自簽名SSL證書，申請公網SSL證書需要公網可識別的域名或者公網IP；

如果有實際SSL證書， 按照本文替換即可。

手繪Https原理

長話短說：  目前常見的Http請求明文傳輸， 報文可被截取並篡改，請求可被偽造； 

因此基於常見HTTP（HTTP-TCP-IP）協議棧引入SSL/TSL（Transport Secure Layer） ，HTTPS在進行加密傳輸之前會進行一次握手，確定傳輸密鑰。

流程解讀：

① 傳輸密鑰是對稱密鑰，用於雙方對傳輸數據的加解密

② 怎麼在傳輸之前確立傳輸密鑰呢？ 針對普遍的多客戶端訪問受信web服務器的場景， 提出非對稱密鑰（公鑰存於客戶端，私鑰存於web服務器），雙方能互相加解密，說明中間數據（傳輸密鑰）沒被篡改。

③ 再拋出疑問，怎麼認定下發的公鑰是這個web服務器匹配的密鑰？怎麼確定這個公鑰下發過程沒被截取篡改？ 這就是追溯到握手階段的下發證書過程，瀏覽器內置的CA機構認定該證書是其有效下發，並通過簽名認定該證書沒被篡改，最終認定該 證書下發的公鑰是受信web服務器準確下發。

④ 如果面向面試記憶Https原理，恐怕有些難度，所以個人用一種 【雞生蛋還是蛋生雞】的方式向上追溯流程， 方便大家知其然更知其所以然。

前置準備

 >   CentOS機器上安裝Docker、 Docker-Compose

 >   常規操作構建 Nginx for Docker網站， 項目結構如下： 

ssl-docker-nginx
    ├── docker-compose.yml
    ├── nginx   
    │      └── nginx.conf
    └── site
           └── index.html

    該項目將會使用  nginx/nginx.conf、site/index.html替換Nginx鏡像默認配置文件和默認啟動頁，docker-compose.yml 如下：

version: '2'
services:
  server:
    image: nginx:latest
    volumes:
      - ./nginx/nginx.conf:/etc/nginx/nginx.conf
      - ./site:/usr/share/nginx/html
    ports:
    - "8080:80"

    docker-compose  up -d 啟動Nginx容器，還是那樣熟悉的味道： 【chrome默認將http連接認定為不安全】

添加SSL自簽名證書

很明顯： web服務器需要存儲證書（內置了公鑰）和私鑰

 ① 創建自簽名證書 （什麼叫自簽名，就是自己給自己頒發 SSL證書）

[nodotnet@gs-server-5809 ssl-docker-nginx]$ openssl req -newkey rsa:2048 -nodes -keyout nginx/my-site.com.key -x509 -days 365 –out nginx/my-site.com.crt

req是證書請求的子命令，-newkey rsa:2048 -keyout nginx/my-site.com.key表示生成私鑰(PKCS8格式)，

　　　　　　　　　　-nodes 表示私鑰不加密，

　　　　　　　　　　 -x509表示輸出證書，-days365 為有效期，此後根據提示輸入證書擁有者信息；

       之後會在nginx目錄下生產2個文件， 分別是私鑰、證書

 ② 將證書和密鑰掛載到Nginx Image， 修改docker-compose.yml

version: '2'
services:
  server:
    image: nginx:latest
    volumes:
      - ./nginx/nginx.conf:/etc/nginx/nginx.conf
      - ./site:/usr/share/nginx/html
      - ./nginx/my-site.com.crt:/etc/nginx/my-site.com.crt    #新行 - ./nginx/my-site.com.key:/etc/nginx/my-site.com.key    #新行
    ports:
    - "8080:80"
    - "443:443"        // 容器開啟HTTPS默認的443端口

 ③  修改nginx/nginx.conf，接受Https請求

events {
  worker_connections  4096;  ## Default: 1024
}

http {
    server {
        listen 80;
        root         /usr/share/nginx/html/;
    }

    server {      　　　　　　# 新Server接受來自443端口的Https請求
        listen              443 ssl;
        ssl_certificate     /etc/nginx/my-site.com.crt;
        ssl_certificate_key /etc/nginx/my-site.com.key;
        root        /usr/share/nginx/html;
    }
}

執行docker-compose down && docker-compose up -d 發起https://10.201.80.126:443請求，當前自簽名證書頒發機構不在瀏覽器內置的CA機構，所以該證書目前被瀏覽器認為是無效。

理論上將 該自簽名證書導出，之後在 【chrome瀏覽器】-【高級設置】-【管理證書】中導入該證書，即可讓 chrome接受自簽名SSL證書。

That‘s All,  Https作為以後web的主流配置，碼農進階資深必須掌握；後續會記錄Https & HSTS， 申請免費SSL證書，盡請關注。

 

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※為什麼 USB CONNECTOR 是電子產業重要的元件?

※網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

※想要讓你的商品成為最夯、最多人討論的話題?網頁設計公司讓你強力曝光

※想知道最厲害的台北網頁設計公司推薦、台中網頁設計公司推薦專業設計師”嚨底家”!!