Windows下Nginx配置SSL實現Https訪問(包含證書生成)
Windows下Nginx配置SSL實現Https訪問(包含證書生成)
首先要說明爲什麼要實現https?
HTTP全名超文本傳輸協議,客戶端據此獲取服務器上的超文本內容。超文本內容則以HTML爲主,客戶端拿到HTML內容後可根據規範進行解析呈現。因此,HTTP主要負責的是“內容的請求和獲取”。問題就出在這部分。行監控、劫持、阻擋等行爲很容易導致網站泄密,一些關鍵參數比如登錄密碼開發者會在客戶端進行MD5加密,不過互聯網所承載的機密信息遠不只是密碼,搜索內容同樣屬於敏感信息。現如今,百度、谷歌、Github等網站已經全站啓用https,https就像是給網站上了一個“鎖”,HTTPS做的就是給請求加密,讓其對用戶更加安全。對於自身而言除了保障用戶利益外,還可避免本屬於自己的流量被挾持,以保護自身利益。所以在我看來,終有一天HTTPS會實現全網普及。
下面進入正題。
實現Https首先需要向管理機構申請證書,而我們此次由於是練習目的,所以通過Openssl自己生成證書。首先我們需要用到生成證書的Openssl軟件。
步驟:
1. 安裝Openssl
下載地址:http://slproweb.com/products/Win32OpenSSL.html (根據系統選擇32位或者64位版本下載安裝)。
下載完成後,進行安裝,我安裝在了 C:\wnmp\OpenSSL-Win64文件夾中
2. 配置環境變量
在環境變量中添加環境變量
變量名: OPENSSL_HOME 變量值:C:\wnmp\OpenSSL-Win64\bin; (變量值爲openssl安裝位置)
在path變量結尾添加如下 : %OPENSSL_HOME%;
3. 生成證書
(1) 首先在 nginx安裝目錄中創建ssl文件夾用於存放證書。比如我的文件目錄爲 C:\wnmp\nginx\ssl
以管理員身份進入命令行模式,進入ssl文件夾。 命令爲: cd c:/wnmp/nginx/ssl
(2) 創建私鑰
在命令行中執行命令: openssl genrsa -des3 -out lee.key 1024 (lee文件名可以自定義),如下圖所示:
輸入密碼後,再次重複輸入確認密碼。記住此密碼,後面會用到。
(3)創建csr證書
在命令行中執行命令: openssl req -new -key lee.key -out lee.csr (key文件爲剛纔生成的文件,lee爲自定義文件名)
如上圖所示,執行上述命令後,需要輸入信息。輸入的信息中最重要的爲 Common Name,這裏輸入的域名即爲我們要使用https訪問的域名。
以上步驟完成後,ssl文件夾內出現兩個文件:
(4)去除密碼。
在加載SSL支持的Nginx並使用上述私鑰時除去必須的口令,否則會在啓動nginx的時候需要輸入密碼。
複製lee.key並重命名爲lee.key.org
可以使用此命令行,也可以使用鼠標操作 copy lee.key lee.key.org
去除口令,在命令行中執行此命令: openssl rsa -in lee.key.org -out lee.key (lee爲自定義文件名)
如下圖所示,此命令需要輸入剛纔設置的密碼。
(5)生成crt證書
在命令行中執行此命令: openssl x509 -req -days 365 -in lee.csr -signkey lee.key -out lee.crt (lee爲自定義文件名)
證書生成完畢,ssl文件夾中一共生成如下4個文件,我們需要使用到的是lee.crt和lee.key。
遇見 Unable to load config info from /usr/local/ssl/openssl.cnf錯誤。 時,然原來這是Unix的默認設置,沒有辦法,只好建文件[c:/usr/local/ssl],從網上下載openssl.conf,然後改爲openssl.cnf,置於c:/usr/local/ssl目錄下
下載地址:http://downloads.securityfocus.com/tools/openssl.conf
4. 修改nginx.conf文件
此前先 配置 Virtual Hosts 改爲 www.lee.com 可以使用一個 Switch Hosts 工具
下載地址: http://www.xiazaiba.com/html/23970.html
nginx.conf文件位於:C:\wnmp\nginx\conf
找到該文件中如下代碼的位置進行修改: 保證本機的端口不被佔用 443 和 80
如果被佔用 也可以 修改 listener 端口
# HTTPS server
#
#server {
# listen 443 ssl;
# server_name localhost;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_cache shared:SSL:1m;
# ssl_session_timeout 5m;
# ssl_ciphers HIGH:!aNULL:!MD5;
# ssl_prefer_server_ciphers on;
# location / {
# root html;
# index index.html index.htm;
# }
#}修改爲:
# HTTPS server
#
#modify by lee 20160907 for https -s
server {
listen 443 ssl;
server_name www.lee.com;
ssl_certificate C:/wnmp/nginx/ssl/lee.crt;
ssl_certificate_key C:/wnmp/nginx/ssl/lee.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root C:/wnmp/lee;
index index.html index.htm index.php; proxy_pass http://127.0.0.1:8081
}
}
#modify by lee 20160907 for https -s 重啓nginx。
在瀏覽器中,訪問 https://www.lee.com。發現出現證書認證,並能夠成功訪問。(www.lee.com爲生成證書時,Common Name輸入的域名)
(執行此步驟時,需要配置好Virtual Host,並且在www.lee.com開放目錄中添加了index.php默認入口訪問文件。)
上面的https被紅色劃線是因爲我們使用的是自己生成的證書,此證書不受瀏覽器信任,如果想使其變爲綠色,則需要向證書管理機構進行申請。
6. 添加重定向,自動跳轉使用https。
在nginx.conf中virtual host中如下代碼位置添加一行代碼:
listen 80;
server_name www.lee.com;
#modify by lee 20160907 for https Redirect -s
rewrite ^(.*) https://$server_name$1 permanent;
#modify by lee 20160907 for https Redirect -e 重啓nginx。
訪問www.lee.com,會發現瀏覽器自動跳轉到https://www.lee.com,並能夠成功訪問。
至此,https訪問配置成功完成。
如有不明之處,歡迎留言,如有錯誤敬請指正。
參考: http://blog.csdn.net/ztclx2010/article/details/6896336
下面這個是 我用的 openssl
http://files.cnblogs.com/files/developer-ios/AMD64-Win64OpenSSL-0_9_8g.zip