Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1274139
  • 博文数量: 179
  • 博客积分: 3044
  • 博客等级: 中校
  • 技术积分: 2437
  • 用 户 组: 普通用户
  • 注册时间: 2006-03-25 15:04
文章分类

全部博文(179)

文章存档

2021年(2)

2020年(1)

2019年(5)

2018年(13)

2017年(6)

2016年(10)

2015年(11)

2014年(11)

2013年(13)

2012年(23)

2011年(25)

2010年(2)

2008年(1)

2007年(5)

2006年(51)

分类: 系统运维

2012-05-10 14:37:01

 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容 请看SSL。

  它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同 于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广 泛用于万维网上安全敏感的通讯,例如交易支付方面。
1:自定义证书:
   生成证书相关文件 *.crt 与*.key
openssl genrsa -des3 -out test.kdweibo.key 2048
openssl req -new -key test.kdweibo.key -out test.kdweibo.csr
openssl rsa -in test.kdweibo.key -out test.kdweibo_nopass.key
openssl x509 -req -days 365 -in test.kdweibo.csr -signkey test.kdweibo_nopass.key -out test.kdweibo.crt
    在nginx启用 443
  server {
    listen       443;
    server_name  "127.0.0.1";
    ssl on;
    ssl_certificate /usr/local/nginx/certs/test.kdweibo.crt;
    ssl_certificate_key /usr/local/nginx/certs/test.kdweibo_nopass.key;
   ......
 }
 重启后就可以使用自定义不受信证书了!

2:免费受信证书
   startssl申请过程就不说了,反正就是得到一个key文件与一个crt文件
  
  由于正式环境用到是haproxy所以在前端要加上对https的中转
  (如果ha与nginx 在一台机器上,nginx的端口就需要改成非443的端口)
  haproxy.conf内容增加如下内容:

点击(此处)折叠或打开

  1. frontend https-in
  2. bind *:443
  3. mode tcp
  4. default_backend c-https

  5. backend c-https
  6. mode tcp
  7. option ssl-hello-chk
  8. option httpclose
  9. server httpsnginxsvr 127.0.0.1:8443 maxconn 10000 check



阅读(1443) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~