https暗号化要求の詳細解を実現するために、nginx設定ssl証明書

1803 ワード

一、暗号化方式(原文のリンク)
1、対称暗号化
対称暗号化とは、クライアントが一連の固定鍵を使って送信内容を暗号化し、サーバが同じ秘密鍵を使って復号することである.
2、非対称暗号化
SSL証明書(SSLプロトコルを遵守し、信頼されたデジタル証明書を発行する機関CAによって、サーバのアイデンティティを検証した後に発行されます.サーバの認証とデータ伝送暗号化機能があります.公開鍵と秘密鍵のペアです.)
非対称暗号化とは、クライアントが公開鍵を使って伝送内容を暗号化し、サーバが秘密鍵を使って伝送内容を復号することである.
java開発ツールは住所とインストール教程大全書をダウンロードします.ここをクリックしてください.
もっと深い技術記事は、[ここ]にあります.
二、httpとhttps
httpはデータをネットワーク上で平文伝送するので、安全ではないが、解析効率が高い(復号を追加する必要はない).httpsは暗号化伝送であり、対称暗号化を使用すれば、クライアントとサービス端末の秘密鍵が固定され、復号効率を高めるために大きなオーバーヘッドが発生しないが、秘密鍵の漏洩リスクがあり、安全性が足りない.非対称暗号化を使用する場合、クライアントは公開鍵を使用し、暗号解読アルゴリズムのオーバーヘッドが大きく、性能コストが高く、効率が対称暗号化より低いが、より高いセキュリティを有している.
実際の生産環境では,httpsは非対称暗号を用いて対称暗号化と結合する方式である.まず、非対称暗号を使用して、クライアントがランダムに生成した対称鍵をサービス端末に送信し、その後、クライアントとサービス端末の間の暗号解読に対称な秘密鍵を使用する.下図のように
三、nginx配置https
1、配置前提
httpsモジュールが既に使用されているかどうかは、inxを起動し、inx-Vビューを実行すると、以下のようになる.
httpsの設定は2つのファイルだけ必要です.一つはブラウザ証明書(公開鍵を含んでいます.ブラウザの暗号化に使用します.)で、一つは秘密鍵です.
server.crtとserver.keyは自分で証明書発行機関に行って商業証明書を買うことができます.自分でプログラムを使って自分で一つを生成することもできます.ここで証明書をサインします.
2、自己署名証明書
(1)サーバの秘密鍵を作成するにはパスワードを入力する必要があります.
    openssl genrsa -des3 -out server.key 4096
(2)署名要求の証明書(CSR)を作成する
    openssl req -new -key server.key -out server.csr
(3)SSLサポートのNFBGIxをロードし、上記の秘密鍵を使用する際に必要なパスワードを除去する.
    openssl rsa -in server.key -out server_nopass.key
(4)最後に証明書をマークします.上記の秘密鍵とCSRを使用します.
    openssl x509 -req -days 365 -in server.csr -signkey server_nopass.key -out server.crt
最後に作成した証明書ファイル
3、証明書の設定
inxのconfプロファイルにServerモジュールが追加されます.
同前certificate/usr/local/nginx/server.crt;
同前certifcate_key/usr/local/inx/server_nopass.key
オリジナルの文章は転載して出所を明記してください.
java開発ツールは住所とインストール教程大全書をダウンロードして、ここをつけます.
もっと深い技術記事は、[ここ]にあります.