概念HTTPS(セキュア)
1.データの機密性
データ送信は、任意の時点で第三者に見られることがあり
ソリューション:
A>
B>対称暗号化秘密鍵と公開伝送毛
2.データの整合性
データ伝送は、誰もが変更できるように自由にすることはできません
ソリューション:
対称暗号化アルゴリズム。保護パブリックとプライベートの署名
3.認証の問題
通信は、右の両方の身元を確認するために必要とされて初めて、
解決策:サーバー上の保存非対称秘密鍵暗号化アルゴリズム、公開鍵配布
===公開鍵証明書(IDカード)
CA認証局
HTTPSへのHTTPアクセスを実現するためにジャンプ
ウェブサイトの擬似静的な構成を実現
最初のコース:秘密鍵と公開鍵(証明書)を作成します
CDの/ etc / nginxの/ OpenSSLのgenrsa -idea - OUTの server.keyの2048 genrsa --- 民間の種類作成 IDEAを --- 秘密鍵ファイルにパスワードを設定する必要 OUT --- 生成した秘密鍵ファイル作成 のOpenSSL REQ -daysを36500 -x509 - SHA256 -nodes -newkey RSA:2048 -keyoutをserver.key - OUTのいるserver.crt REQ --- 証明書ファイルの作成 日 --- 証明書ファイルが有効である(デフォルト日) X509 --- 証明書ファイル形式の SHA256 - - 証明書を生成するアルゴリズムを指定する ノードを ---証明書の秘密鍵のパスワード生成取り外し KEYOUTを --- 負荷に秘密鍵ファイルを指定 OUT ---生成された証明書情報
2コース目:nginxのプログラムでは、プライベートとパブリックの情報を読み込み、オープンHTTPS機能に設定ファイルを書きます
ssl_certificate ssl_key / をserver.crt。 ssl_certificate_key ssl_key / server.keyの。 [ルート@ WEB02のnginx]#猫 /etc/nginx/conf.d/ www.confの サーバー{ 聞く 443 SSLを。 サーバー名www.oldboy.com www.jd.com。 ルート / HTML / WWW。 インデックスindex.htmlを。 ssl_certificateをserver.crt; ssl_certificate_key server.keyの; }
第三講座:HTTPアクセスHTTPSジャンプ機能の設定
サーバー{ 聞く 80 。 SERVER_NAME www.oldboy.com; 書き換え ^ /(。*)$のhttps:// $ホスト/ $ 1リダイレクト。 } サーバー{ 聞く 443 SSLと、 サーバー名www.oldboy.com www.jd.com。 ルート / HTML / WWW。 インデックスindex.htmlを。 ssl_certificateをserver.crt; ssl_certificate_key server.keyの; }
HTTPSが負荷プロセスへのアクセスを達成するためにバランスをとります
一つの方法:ネットワーク全体のサーバが設定された証明書と秘密鍵の情報
ユーザークライアントアクセスLB01 --- --- ウェブノード www.oldboy.com HTTP:// www.oldboy.com HTTPS:// www.oldboy.com ---> 443 SSLを聞く 最初のコース:ライティングポンド負荷分散設定ファイル 上流Oldboy { #serverを10.0。0.7:443 ; サーバ10.0。0.8:443 ; #serverを10.0。0.9:80 ; } サーバー{ 聞く 80 。 サーバー名はlocalhost。 書き換え ^ /(。*)$のhttps:// $ホスト/ $ 1リダイレクト。 } サーバー{ 聞く 443 SSLと、 サーバー名はlocalhost。 ssl_certificateをserver.crt; ssl_certificate_key server.keyの; 位置 / { proxy_passのhttps:// oldboy。 proxy_set_headerホスト$ホスト; proxy_set_header X -Forwarded- のために$ REMOTE_ADDR。 } } 第二个历程:ウェブ节点配置 サーバー{ 聞く 443 SSLと、 サーバー名www.oldboy.com www.jd.com。 ルート / HTML / WWW。 インデックスindex.htmlを。 ssl_certificateをserver.crt; ssl_certificate_key server.keyの; }
第二の方法:負荷分散サーバの設定証明書と秘密鍵の情報
ユーザークライアントアクセスLB01 --- ---> ウェブノード www.oldboy.com HTTP:// www.oldboy.com HTTPS:// www.oldboy.com ---> 80聞く 最初のコースを:ロード・バランシング構成情報 上流Oldboy { #serverを10.0。0.7:443 ; サーバ10.0。0.8:80 ; の#server 10.0。0.9:80 ; } サーバー{ 聞く 80を、 サーバー名はlocalhost。 書き換え ^ /(。*)$のhttps:// $ホスト/ $ 1リダイレクト。 } サーバー{ 聞く 443 SSLと、 サーバー名はlocalhost。 ssl_certificateをserver.crt; ssl_certificate_key server.keyの; 位置 / { proxy_passのhttp:// oldboy。 proxy_set_headerホスト$ホスト; proxy_set_header X -Forwarded- のために$ REMOTE_ADDR。 } } 第二个历程:ウェブ节点配置信息 サーバ{ 聞く 80 。 SERVER_NAME www.oldboy.com www.jd.com。 ルート / HTML / WWW。 インデックスindex.htmlを。 }
HTTPSのアクセス動的なページのワードプレスを使用して、
最初のコース:編集プロファイル情報 レビューロードバランシングコンフィギュレーションファイル: 上流Oldboy { #serverを10.0。0.7:443 ; サーバ10.0。0.8:443 ; #serverを10.0。0.9:80 ; } サーバー{ 聞く 80 、 サーバ名はlocalhost。 書き換え ^ / $ HTTPS:(*)// $ホスト/ $リダイレクト1; } サーバー{ 聞く 443 SSL。 サーバー名はlocalhost。 ssl_certificateをserver.crt; ssl_certificate_key server.keyの; 位置 / { proxy_passのhttps:// oldboy。 proxy_set_headerホスト$ホスト; proxy_set_header X -Forwarded- のために$ REMOTE_ADDR。 } } ウェブ服务器配置过程 サーバ{ 聞く 443 SSLと、 サーバー名blog.oldboy.com blog.oldgirl.com。 ssl_certificateをserver.crt; ssl_certificate_key server.keyの; 位置 / { ルート / HTML / ブログ、 インデックスのindex.php index.htmlを; } LOCATION〜\ $ {.phpの ルート / HTML / ブログ; fastcgi_pass 127.0。0.1:9000 ; fastcgi_indexのindex.php; fastcgi_param SCRIPT_FILENAME $ $ DOCUMENT_ROOTのfastcgi_script_name; fastcgi_param HTTPS ON ; fastcgi_paramsを含む; } } 第二履歴:レビュー背景情報ワードプレス 修飾アドレスHTTPS:// blog.oldboy.com 第三の工程:プログラム再起動nginxのを