向来都不会在window 下安装软件的,但今天哥将实现这一伟大创举,以Windows下Nginx配置SSL实现Https访问 为例
1、首先要说明为什么要实现https?
HTTP全名超文本传输协议,客户端据此获取服务器上的超文本内容。超文本内容则以HTML为主,客户端拿到HTML内容后可根据规范进行解析呈现。因此,HTTP主要负责的是“内容的请求和获取”。问题就出在这部分。行监控、劫持、阻挡等行为很容易导致网站泄密,一些关键参数比如登录密码开发者会在客户端进行MD5加密,不过互联网所承载的机密信息远不只是密码,搜索内容同样属于敏感信息。现如今,百度、谷歌、Github等网站已经全站启用https,https就像是给网站上了一个“锁”,HTTPS做的就是给请求加密,让其对用户更加安全。对于自身而言除了保障用户利益外,还可避免本属于自己的流量被挟持,以保护自身利益。所以在我看来,终有一天HTTPS会实现全网普及。
HTTPS对应的通信时序图如下:
下面进入正题。
实现Https首先需要向管理机构申请证书,而我们此次由于是练习目的,所以通过Openssl自己生成证书。首先我们需要用到生成证书的Openssl软件。
一,生成证书步骤:
1.安装Openssl
2.配置 OPENSSL环境变量
变量名: OPENSSL_HOME
在path变量结尾添加如下 : %OPENSSL_HOME%\bin;
我先E盘建上一个文件夹test_cert,并转到这文件夹下
3.创建私钥
在命令行中执行命令: openssl genrsa -des3 -out lee.key 1024 (lee文件名可以自定义),输入密码后,再次重复输入确认密码。记住此密码,后面会用到。
PS:在执行这步时,可能会报错:
这里要配置环境变量
Name:
OPENSSL_CONF
Value:
D:\software\openssl-0.9.8h-1-bin\share\share\openssl.cnf
4.创建csr证书。在命令行中执行命令: openssl req -new -key lee.key -out lee.csr (key文件为刚才生成的文件,lee为自定义文件名)
如上图所示,执行上述命令后,需要输入信息。输入的信息中最重要的为 Common Name,这里输入的域名即为我们要使用https访问的域名。以上步骤完成后,ssl文件夹内出现两个文件:
5.去除密码。 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令,否则会在启动nginx的时候需要输入密码。
复制lee.key并重命名为lee.key.org ;可以使用此命令行,也可以使用鼠标操作 copy lee.key lee.key.org
去除口令,在命令行中执行此命令: openssl rsa -in lee.key.org -out lee.key (lee为自定义文件名)如下图所示,此命令需要输入刚才设置的密码。
6.生成pem证书:在命令行中执行此命令: openssl x509 -req -days 365 -in lee.csr -signkey lee.key -out lee.pem (lee为自定义文件名)
证书生成完毕,ssl文件夹中一共生成如下4个文件,我们需要使用到的是lee.pem和lee.key。
一,nginx配置:
1.下载nginx(http://nginx.org/en/download.html)
2.配置https
路径:指向你步骤一生成的路径 proxy_pass即是应用程序启动的地址。此处的域名是host指向
3.启动nginx
PS:要是下图,代表你的端口443冲突,所以我上面的nginx 配置改为5443
三,步骤
原不配置https效果图:
配置https效果图: