prefacio
Este blog explica principalmente cómo usar Nginx para implementar el certificado SSL de la interfaz de la aplicación back-end, a fin de implementar la interfaz de acceso al protocolo HTTPS (este artículo utiliza la implementación de IP de red pública, los lectores pueden reemplazarlo con el nombre de dominio)
Solicitar un certificado
Aviso
Solicite un certificado SSL en su plataforma de servicios en la nube. En términos generales, el período del certificado es de un año y deberá solicitarlo nuevamente cuando expire el período.
El blogger aquí está utilizando el servidor en la nube de Alibaba Cloud. Alibaba Cloud puede solicitar 20 certificados SSL DigiCert de forma gratuita cada año, pero el certificado DigiCert no admite el enlace de IP. Si ingresa la IP, aparecerá el siguiente error
Globalsign、GeoTrust、vTrus、CFCA品牌OV单域名证书支持绑定IP,建议您购买Globalsign品牌的证书
Aquí explicamos la situación del uso de IP de red pública para solicitar certificados. Sabemos que, en términos generales, los certificados SSL son solo para la instalación de nombres de dominio, y solo algunos certificados DV y OV admiten la implementación de IP. A continuación, explicaremos la solicitud de certificado gratuita. Pasos que se pueden implementar usando IP.
Si desea implementar [nombre de dominio], puede solicitarlo e implementarlo con su propio proveedor de servicios en la nube. Generalmente, hay una cuota gratuita, que es suficiente para individuos y es más conveniente.
Pasos de la solicitud
Descripción: Certificados SSL y herramientas SSL gratuitos - ZeroSSL
Luego seleccione un certificado de 90 días y confírmelo todo el tiempo. Luego siga el proceso, verificación DNS o verificación de archivos HTTP. El método de verificación de archivos HTTP se utiliza como ejemplo a continuación.
Seleccione Descargar archivo de autenticación y almacene el archivo de autenticación en la carpeta /usr/share/nginx/html/.well-known/pki-validation del servidor, de modo que nginx en el servidor proporcione una respuesta al acceso HTTP al archivo de autenticación.
location /.well-known/pki-validation/ {
root /usr/share/nginx/html/;
}
No es necesario ser el directorio anterior, solo asegúrese de que nginx tenga la autoridad de operación de este directorio; de lo contrario, aparecerá un error 403.
Luego impleméntelo de acuerdo con el documento oficial del certificado de implementación de Nginx: Instalación del certificado SSL en NGINX – ZeroSSL
Después de cargar todos los archivos de certificados SSL, debe fusionar los archivos certificado.crt y ca_bundle.crt.
cat certificate.crt ca_bundle.crt >> certificate_merge.crt
configuración del certificado
Ahora el puerto 8080 del servidor ha ejecutado la interfaz backend, a continuación implementaré el certificado SSL en la IP de la red pública.
Configurar nginx.conf
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
ssl_certificate "/home/dev/certs/certificate_merge.crt";
ssl_certificate_key "/home/dev/certs/private.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers PROFILE=SYSTEM;
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
proxy_pass http://localhost:8080/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 100m;
}
}
# 重启 Nginx
systemctl restart nginx.service
Clasificación de certificados
Certificado de nombre de dominio (DV)
El certificado SSL es un certificado SSL simple (Clase 1) que solo verifica la propiedad del nombre de dominio del sitio web, se puede emitir rápidamente en 10 minutos y puede desempeñar el papel de transmisión cifrada, pero no puede probar la identidad real del el sitio web al usuario.
Todos los certificados gratuitos que existen actualmente en el mercado son de este tipo, que sólo proporcionan cifrado de datos, pero no verifican la identidad de la persona u organización que proporciona el certificado.
Certificado de organización/empresa (OV)
Se utiliza para verificar que el nombre de dominio es propiedad de una empresa, organización o institución específica, y que la identidad del sujeto de la solicitud está legalmente registrada o reconocida por una autoridad.
Proporciona función de cifrado, realiza una estricta verificación de identidad y verificación de los solicitantes y proporciona certificados de identidad creíbles. La diferencia con DV SSL es que OV SSL proporciona auditorías para individuos u organizaciones, que pueden confirmar la identidad de la otra parte y es más seguro. Generalmente certificado de tarifa
Certificado mejorado (EV)
Los certificados de validación extendida (EV) son actualmente los certificados SSL más confiables disponibles. La auditoría de las autoridades certificadoras es extremadamente estricta. El certificado mejorado tiene el más alto nivel de credibilidad y seguridad, y la barra de direcciones verde con el nombre de la empresa es una de sus características distintivas, que puede hacer que los visitantes tengan más confianza y seguridad de que el sitio web con el que realizan transacciones es auténtico. Legal, aumentando así Volumen de transacciones en línea.
Valores financieros, bancos, pagos de terceros, centros comerciales en línea, etc., sitios web que enfatizan la seguridad del sitio web y la imagen corporativa creíble, involucran pagos de transacciones, transmisión de información de privacidad del cliente y contraseñas de cuentas. Esta parte de los requisitos de verificación es la más alta y la tarifa de solicitud también es la más cara.
artículo de referencia
Lectura recomendada
¡Este artículo está publicado por OpenWrite, una plataforma de publicaciones múltiples para blogs !