目录
一.SSL证书概要
二.证书作用
三.ssl证书的三种类别
1.最基础的SSL证书类别:DV(Domain Validaion)
2.普通的组织验证证书:OV(Organization Validation)
3.扩展验证类SSL证书:EV (Extended Validation)
四、SSL证书的使用成本
1、免费SSL证书
2、基础版的 DV SSL证书
3、企业版 OV SSL证书
4、扩展验证的 EV SSL证书
五.获取证书和密钥
1.安装openssl工具
2.创建一个存放证书的文件放到/etc/nginx/ssl_key下
3. 证书颁发机构,创建私钥(本机当的CA)
4.生成证书,去掉私钥的密码
六.配置ssl模块
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。
SSL 证书 就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了),即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。数字签名又名数字标识、签章 (即 Digital Certificate,Digital ID ),提供了一种在网上进行身份验证的方法,是用来标志和证明网络通信双方身份的数字信息文件,概念类似日常生活中的司机驾照或身份证。 数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、网上公文安全传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。
1.浏览器绿色安全标志
各大主流浏览器的重视,对没有安装SSL证书的网站提示“不安全”,安装了SSL证书的网站浏览器会显示绿色安全标志,表示连接安全。
2.网站数据加密传输
安装SSL证书之后,网站会从升级为 https(加密协议)。可加密保护网站的所有数据信息,保护访客注册登录,在线交易等信息数据,这对于电商、金融、政府、企业等网站至关重要。
小程序、抖音等平台对于合作的网址有相关的要求,即需要使用 https 链接。
3.安全标志获得访客信任
OV SSL证书可验证申请组织的真实身份,可在证书详情里查看申请企业。高级EV SSL证书还可在浏览器地址栏显示绿色企业名称,可加深访客对网站的信任,浏览使用更加放心。
4.强大的加密等级保障
SSL证书之所以能够进行数据加密,和它的2048位加密技术是分不开的,时刻保护这敏感数据不被窃取、泄露。 满足“等保”等相关政策对网站的安全要求。
OV 和 EV 证书除了安全加密之外,其实还有对网站管理者身份的验证,这个验证会体现在 SSL证书的字段中。而 EV 级别的 SSL证书甚至可以在某些版本的浏览器中直接显示单位名称。这一定程度帮助网站运营者确定了其“官方身份”,有助于帮助其用户识别真假网站。
5.SSL证书帮助网站保护了用户和网站之间的任何数据的安全
最重要的一点,SSL证书帮助网站保护了用户和网站之间的任何数据的安全。如果没有SSL证书,用户在网站上的任何信息交互都将处于明文传输的状态,这其实上非常可怕的。也正因为如此,作为展示网站的浏览器,在推动SSL证书的普及上非常积极,甚至对没有SSL证书的网站在打开的时候进行了安全拦截
俗称“域名验证型SSL证书”。这种 SSL证书只具备最基本的 HTTPS 加密作用。不涉及到SSL证书的使用方身份验证,因此具有颁发快,成本低的优点。这种证书满足了大量的个人站长对 https 的加密需求。同时也是各个小微企业从节约经营成本的角度出发可以选择的SSL证书类型。
俗称“组织验证型SSL证书”或者“企业性SSL证书”。这类证书从加密和身份认证两方面对网站进行了一个提高。申请这类证书需要具有组织身份,例如公司、政府、学校、医院等各类单位组织。证书签发机构在签发证书之前,会对这个组织身份的真实性进行验证,确保组织的真实存在以及确认该组织本身确实是在申请SSL证书,防止冒名顶替。这种 OV SSL证书的字段里面包含了使用证书的单位名称。
这类SSL证书俗称“增强型SSL证书”或者“扩展验证型SSL证书”。这种SSL证书对申请者身份做了更加严格的审核,也正因如此,很多浏览器对装有 EV SSL证书的网站进行了特别的标注:例如在浏览器地址栏直接显示单位名称,或者在浏览器地址栏点击小锁标志后显示单位名称。
这类证书建议适合一些流量不大的个人博客之类的站点。近几年发生过多起免费SSL证书被大规模吊销事件,相关资讯可以网上搜索一下,除此之外,免费的SSL证书更不会与您签合同,以及提供及时的技术支持,您还需要考虑SSL证书的响应速度、兼容性等。因此,如果您是单位正式的在线业务,谨慎使用免费SSL证书,毕竟出现问题后背锅是件很难受的事。
这类证书的成本区间在每年 100-1000 左右,这种成本相比单位其他的开支,其实不值一提。这种证书适用于一些后台的 API 之类的安全连接。
证书根据品牌的不同,大概的成本在每年 1000 以上。
这类证书根据品牌的不同,大概的成本在每年 2000 以上。
关闭核心防护与防火墙
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
yum install -y openssl
mkdir -p /etc/nginx/ssl_key
cd /etc/nginx/ssl_key/
openssl genrsa -idea -out server.key 2048
2048 是代表位数 位数越多越安全 常见的有 2048、4096
openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
req 表示证书输出的请求
-days 3650 时间=10 年
-x509 签发x509格式证书命令
-newkey 此选项创建一个新的证书请求和一个新的私钥。 该参数采用以下几种形式之 一。 rsa:nbits (其中nbits是位数)会生成nbits大小的RSA密钥
-key密钥
-new表示新的请求
-out输出路径
1、到nginx安装目录下添加ssl模块
因为之前已经安装过了nginx即对器安装依赖环境
yum -y install gcc gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel make
2.开始编译
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module
3.编译安装
make
不能make install因为会直接刷新前面的配置
3、关闭服务
然后用源码包中刚刚编译好的的Nginx把安装目录中的Nginx替换掉
systemctl stop nginx
cp ./objs/nginx /usr/local/nginx/sbin/
5、 编辑配置文件
vim /usr/local/nginx/conf/nginx.conf
server {
listen 443 ssl;
server_name 192.168.100.10;
ssl_certificate /etc/nginx/ssl_key/server.crt;
ssl_certificate_key /etc/nginx/ssl_key/server.key;
location / {
root /https-gg;
index index.html;
}
}
完成