https原理和使用Certbot配置https数字证书

数字证书

  服务端发送自己的公钥给CA(认证中心),CA先生成公钥的摘要,然后用自己的私钥对服务端的摘要进行加密,生成签名,之后将签名和服务端公钥作为数字证书发给服务端。

  当服务端将数字证书发给客户端时,客户端用CA的公钥解密后得到服务端的公钥的摘要。

  之后客户端生成公钥的摘要,并与解密的摘要对比,就可以判断公钥信息的正确性。

HTTPS通信过程

  非对称加密是用来加密密钥,对称加密用来加密数据。

  首先客户端请求服务端的443端口。

  服务端有一对密钥,公钥和私钥,用做非对称加密的密钥。为了保证公钥不被篡改,要从CA获取数字证书。服务端将数字证书发给客户端。

  客户端对数字证书进行检查使用CA公钥进行校验。

  如果合法,客户端会生成一个随机字符串,用做对称加密的密钥。并用服务端的公钥对该密钥进行加密。

  客户端发起第二次请求,将加密后的密钥发给服务端。

  服务端用私钥解密后,就得到了客户端的密钥。

  服务端用该密钥加密数据后发送给客户端。

  客户端用该密钥解密数据,结束一次通信过程。

Certbot配置https数字证书

yum -y install yum-utils
yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
yum install certbot python2-certbot-nginx
pip install urllib3
certbot --nginx

错误:ImportError: 'pyOpenSSL' module missing required functionality. Try upgrading to v0.14 or newer.

pip install --upgrade --force-reinstall 'requests==2.6.0'

nginx配置

server {
        listen       443 ssl;
        server_name  rov-lab.top www.rov-lab.top;

        ssl_certificate    /etc/letsencrypt/live/rov-lab.top/fullchain.pem;
        ssl_certificate_key  /etc/letsencrypt/live/rov-lab.top/privkey.pem;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location /api {
            proxy_pass http://127.0.0.1:8080/api;
        }

        location / {
            root   /root/html/;
            index  index.html index.htm;
            try_files $uri $uri/ /index.html;
        }
    }
server { listen 80; server_name rov-lab.top www.rov-lab.top; rewrite ^(.*)$  https://$server_name$1 permanent; }

 

转载于:https://www.cnblogs.com/caoyuzheng/p/10989020.html

你可能感兴趣的:(python,运维)