https原理和使用Certbot配置https数字证书

数字证书

　　服务端发送自己的公钥给CA（认证中心），CA先生成公钥的摘要，然后用自己的私钥对服务端的摘要进行加密，生成签名，之后将签名和服务端公钥作为数字证书发给服务端。

　　当服务端将数字证书发给客户端时，客户端用CA的公钥解密后得到服务端的公钥的摘要。

　　之后客户端生成公钥的摘要，并与解密的摘要对比，就可以判断公钥信息的正确性。

HTTPS通信过程

　　非对称加密是用来加密密钥，对称加密用来加密数据。

　　首先客户端请求服务端的443端口。

　　服务端有一对密钥，公钥和私钥，用做非对称加密的密钥。为了保证公钥不被篡改，要从CA获取数字证书。服务端将数字证书发给客户端。

　　客户端对数字证书进行检查使用CA公钥进行校验。

　　如果合法，客户端会生成一个随机字符串，用做对称加密的密钥。并用服务端的公钥对该密钥进行加密。

　　客户端发起第二次请求，将加密后的密钥发给服务端。

　　服务端用私钥解密后，就得到了客户端的密钥。

　　服务端用该密钥加密数据后发送给客户端。

　　客户端用该密钥解密数据，结束一次通信过程。

Certbot配置https数字证书

yum -y install yum-utils
yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
yum install certbot python2-certbot-nginx
pip install urllib3
certbot --nginx

错误：ImportError: 'pyOpenSSL' module missing required functionality. Try upgrading to v0.14 or newer.

pip install --upgrade --force-reinstall 'requests==2.6.0'

nginx配置

server {
        listen       443 ssl;
        server_name  rov-lab.top www.rov-lab.top;

        ssl_certificate    /etc/letsencrypt/live/rov-lab.top/fullchain.pem;
        ssl_certificate_key  /etc/letsencrypt/live/rov-lab.top/privkey.pem;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location /api {
            proxy_pass http://127.0.0.1:8080/api;
        }

        location / {
            root   /root/html/;
            index  index.html index.htm;
            try_files $uri $uri/ /index.html;
        }
    }
server {
    listen 80;
    server_name rov-lab.top www.rov-lab.top;
    rewrite ^(.*)$  https://$server_name$1 permanent;
}

 

转载于:https://www.cnblogs.com/caoyuzheng/p/10989020.html