prefácio
Este blog explica principalmente como usar o Nginx para implantar o certificado SSL da interface do aplicativo back-end, de modo a realizar a interface de acesso do protocolo HTTPS (este artigo usa implantação de IP de rede pública, os leitores podem substituí-lo por nome de domínio)
Solicite um certificado
Perceber
Solicite um certificado SSL em sua plataforma de serviço em nuvem. De modo geral, o período do certificado é de um ano e você precisará solicitar novamente quando o período expirar
O blogueiro aqui está usando o servidor em nuvem Alibaba Cloud. O Alibaba Cloud pode solicitar 20 certificados SSL DigiCert gratuitamente todos os anos, mas o certificado DigiCert não suporta vinculação de IP. Se você inserir o IP, o seguinte erro aparecerá
Globalsign、GeoTrust、vTrus、CFCA品牌OV单域名证书支持绑定IP,建议您购买Globalsign品牌的证书
Aqui explicamos a situação de usar IP de rede pública para solicitar certificados. Sabemos que, de modo geral, os certificados SSL são apenas para instalação de nomes de domínio e apenas alguns certificados DV e OV suportam implantação de IP. A seguir, explicaremos a aplicação de certificado gratuito etapas que podem ser implantadas usando IP
Se você deseja implantar [nome de domínio], pode solicitá-lo e implantá-lo em seu próprio provedor de serviços de nuvem. Geralmente, há uma cota gratuita, que é suficiente para indivíduos e mais conveniente
Etapas do aplicativo
Próximo: Certificados SSL gratuitos e ferramentas SSL - ZeroSSL
Em seguida, selecione um certificado de 90 dias e confirme-o sempre. Em seguida, siga o processo, verificação de DNS ou verificação de arquivo HTTP. O método de verificação de arquivo HTTP é usado como exemplo abaixo
Selecione Baixar arquivo de autenticação e armazene o arquivo de autenticação na pasta /usr/share/nginx/html/.well-known/pki-validation do servidor, para que o nginx no servidor forneça uma resposta ao acesso HTTP ao arquivo de autenticação
location /.well-known/pki-validation/ {
root /usr/share/nginx/html/;
}
Não é necessário ser o diretório acima, apenas certifique-se de que o nginx tenha autoridade de operação deste diretório, caso contrário, um erro 403 aparecerá
Em seguida, implante-o de acordo com o documento oficial do certificado de implantação do Nginx: Instalando o certificado SSL no NGINX – ZeroSSL
Depois de fazer upload de todos os arquivos de certificado SSL, você precisa mesclar os arquivos Certificate.crt e ca_bundle.crt
cat certificate.crt ca_bundle.crt >> certificate_merge.crt
configuração de certificado
Agora que a porta 8080 do servidor executou a interface backend, a seguir irei implantar o certificado SSL no IP da rede pública
Configurar nginx.conf
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
ssl_certificate "/home/dev/certs/certificate_merge.crt";
ssl_certificate_key "/home/dev/certs/private.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers PROFILE=SYSTEM;
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
proxy_pass http://localhost:8080/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 100m;
}
}
# 重启 Nginx
systemctl restart nginx.service
Classificação do certificado
Certificado de nome de domínio (DV)
O certificado SSL é um certificado SSL simples (Classe 1) que apenas verifica a propriedade do nome de domínio do site, pode ser emitido rapidamente em 10 minutos e pode desempenhar o papel de transmissão criptografada, mas não pode provar a identidade real do o site ao usuário.
Todos os certificados gratuitos atualmente existentes no mercado são deste tipo, que apenas fornecem criptografia de dados, mas não verificam a identidade do indivíduo ou organização que fornece o certificado.
Certificado de Organização/Empresa (OV)
É usado para verificar se o nome de domínio pertence a uma empresa, organização ou instituição específica e se a identidade do sujeito do aplicativo está legalmente registrada ou reconhecida por uma autoridade.
Fornece função de criptografia, realiza verificação e verificação de identidade rigorosa para os candidatos e fornece certificados de identidade confiáveis.A diferença do DV SSL é que o OV SSL fornece auditorias para indivíduos ou organizações, que podem confirmar a identidade da outra parte e são mais seguras. Geralmente certificado de taxa
Certificado Aprimorado (EV)
Os certificados de validação estendida (EV) são atualmente os certificados SSL mais confiáveis disponíveis. A auditoria das autoridades certificadoras é extremamente rigorosa. O certificado aprimorado possui o mais alto nível de credibilidade e segurança, e a barra de endereço verde com o nome da empresa é um de seus diferenciais, o que pode deixar os visitantes mais confiantes e seguros de que o site com o qual estão negociando é autêntico Legal, aumentando assim volume de transações on-line.
Títulos financeiros, bancos, pagamentos de terceiros, shoppings on-line, etc., sites que enfatizam a segurança do site e a imagem corporativa confiável, envolvem pagamento de transações, transmissão de informações de privacidade do cliente e senhas de contas. Esta parte dos requisitos de verificação é a mais alta e a taxa de inscrição também é a mais cara.
artigo de referência
[SSL] A diferença entre os certificados OV, DV e EV - Alibaba Cloud Developer Community (aliyun.com)
Leitura recomendada
Este artigo foi publicado pela OpenWrite, uma plataforma multi-post para blogs !