如果这篇文章对你有所帮助,请文末留言,点个赞,给个在看和转发,大家的支持是我持续创作的最大动力!
出于安全访问考虑,采取的CA是本机Openssl自署名天生的,因此无法通过互联网工信Root CA验证,以是会涌现该网站不受信赖或安全证书无效的提示,直接跳过,直接访问即可!
(1)客户端浏览器通过https协议访问做事器的443端口,并得到做事器的证书(公钥);客户端浏览器这时候会去找一些互联网可信的RootCA(威信证书颁发机构)验证当前获取到的证书是否合法有效,PS:这些RootCA是随操作系统一起预设安装在了系统里面的;
(2)如果RootCA验证通过,表示该证书是可信的,并且若证书中标注的做事器名称与当前访问的做事器URL地址同等,就会直策应用该证书中包含的公钥解密做事器通过自己的KEY(私钥)加密后传输过来的网页内容,从而正常显示页面内容;
(3)如果RootCA验证不通过,解释该证书是未得到合法的RootCA署名和授权,因此也就无法证明当前所访问的做事器的威信性,客户端浏览器这时候就会显示一个警告,提示用户当前访问的做事器身份无法得到验证,讯问用户是否连续浏览!
(常日自署名的CA证书便是这种情形)
这里须要把稳,验证CA的有效性,只是证明当前做事器的身份是否合法有效,是否具有公信力以及身份唯一性,防止其他人仿冒该网站;但并不会影响到网页的加密功能,只管CA证书无法得到威信证明,但是它所包含的公钥和做事器上用于加密页面的私钥依然是匹配的一对,以是做事器用自己的私钥加密的网页内容,客户端浏览器依然是可以用这张证书来解密,正常显示网页内容,以是当用户点击“连续浏览此网站(不推举)”时,网页就可以打开了;
自署名CA证诗人成1.用Openssl随机天生做事器密钥,和证书申请文件CSR
2.自己给自己签发证书
在做事器命令行输入如下命令办法证书。
#opensslx509-req-days3650-inmoonfly.net.csr-signkeymoonfly.net.key-outmoonfly.net.crt-days 3650 证书的有效期,自己给自己颁发证书,想有多久有效期,就弄多久,我一下弄了10年的有效期;-inmoonfly.net.csr指定CSR文件-signkeymoonfly.net.key指定做事器的私钥key文件-outmoonfly.net.crt 设置天生好的证书文件名
一条命令,自己给自己压钢印的身份证 moonfly.net.crt 就出身了!
注:实在严格来讲,这里天生的只是一张RootCA,并不是严格意义上的做事器证书ServerCA,真正的ServerCA是须要利用这张RootCA再给做事器签署办法出来的证书才算;不过我们这里只讲如何实现网页的SSL加密,以是就直策应用RootCA了,也是能正常实现加密功能的!
配置文件修正完毕后,用nginx -t 测试下配置无误,就reload一下nginx做事,检讨443端口是否在监听:
配置完毕,https已经在事情了,现在可以通过https访问网站了
重磅福利关注「 冰河技能 」微信"大众年夜众号,后台回答 “设计模式” 关键字领取《深入浅出Java 23种设计模式》PDF文档。回答“Java8”关键字领取《Java8新特性教程》PDF文档。回答“限流”关键字获取《亿级流量下的分布式限流办理方案》PDF文档,三本PDF均是由冰河原创并整理的超硬核教程,口试必备!
!
好了,本日就聊到这儿吧!
别忘了点个赞,给个在看和转发,让更多的人看到,一起学习,一起进步!
!
如果你以为冰河写的还不错,请微信搜索并关注「 冰河技能 」微信"大众年夜众号,跟冰河学习高并发、分布式、微做事、大数据、互联网和云原生技能,「 冰河技能 」微信"大众号更新了大量技能专题,每一篇技能文章干货满满!
不少读者已经通过阅读「 冰河技能 」微信"大众年夜众号文章,吊打口试官,成功跳槽到大厂;也有不少读者实现了技能上的飞跃,成为公司的技能骨干!
如果你也想像他们一样提升自己的能力,实现技能能力的飞跃,进大厂,升职加薪,那就关注「 冰河技能 」微信"大众年夜众号吧,每天更新超硬核技能干货,让你对如何提升技能能力不再迷茫!
