最新消息:走过的,离开的,已经错过,新开始2016

Nginx默认站点自签SSL证书

技术随笔 果果 946浏览 3评论

为什么要给Nginx的默认站点添加一个SSL证书的?
之前就遇到一个问题,同一个服务器上面,多个站点,有http的,也有https的,后面发现,如果http的站点,通过https访问会默认访问到第一个建立的https站点。
而且还有一个更重要的问题,如果你的站点套了CDN,不想暴露你源服务器IP,但是这样可以通过https://censys.io/ipv4等一些爬虫站解析出真实IP,很不安全。

解决这个问题其实就是给默认站点443端口的https添加一个SSL证书,这里可以是任意证书,你可以添加一个免费的Let’s Encrypt证书,但是这样需要使用一个域名签发,但是有域名也就暴露了很多信息,
我们可以使用自签一个,你可以在服务器上使用openssl自签,具体步骤搜索一下就可以。当然现在有很多在线生成的工具和网站,你完全可以使用。


http://web.chacuo.net/netcreatecrt 在线签发

这里要注意一个问题,很多自签的时候需要输入证书密码,在使用过程中,nginx重启就会要求输入密码

Enter PEM pass phrase:


这样在服务器每次重启都要输入密码,我们可以通过下面取消这个密码。

openssl rsa -in 1.key -out 1.key.unsecure

nginx.conf 在默认站点下面配置一下证书信息

    server {
        listen 443;
        ssl_certificate    /home/ssl/1.pem;
        ssl_certificate_key /home/ssl/1.key.unsecure;
        server_name localhost;
        root /home/wwwroot/;
        index index.php index.html index.htm;
        access_log off;
     }

通过https://ip 可以测试一下,浏览器报不信任的站点,查看一下证书信息,看看是不是刚刚自签的证书。

懒人可以使用一下我自签的证书
1.key

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

1.pem

-----BEGIN CERTIFICATE-----
MIIDNTCCAh2gAwIBAgIBADANBgkqhkiG9w0BAQUFADBeMQswCQYDVQQGEwJDSDEO
MAwGA1UECBMFY2hpbmExDjAMBgNVBAcTBWNoaW5hMQ8wDQYDVQQKEwZnb3YuY24x
CzAJBgNVBAsTAklUMREwDwYDVQQDFAgqLmdvdi5jbjAeFw0yMTEyMjEwODI2MjVa
Fw0zMTEyMTkwODI2MjVaMF4xCzAJBgNVBAYTAkNIMQ4wDAYDVQQIEwVjaGluYTEO
MAwGA1UEBxMFY2hpbmExDzANBgNVBAoTBmdvdi5jbjELMAkGA1UECxMCSVQxETAP
BgNVBAMUCCouZ292LmNuMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
ykLUSZwrivvr1nyrEVMCmTkXsJr1N6lCPqunxAwyMhCCVxrGm091f51ZJbxtDGXx
2psmjcwqi96Acwv9jZr1NW7V83J/moU46EfzqzvDW2pZDA9T0h8D6VYzJG25Qdqs
uXhiO3Qio+iKEcrpBePxCnhxrRrLe6DAKVP/nbqxzLpYivYT+BUT5+HWn1yhm3a9
vCwXn2RsI63gF8NCgN7Fl01jhQdShDOzxvSoThyDtwLVNkFYn6JcDx/AfZaq/8s5
h6+wq4jYTF7P7lmucCf40E4OJkkdPDCbSp3WJ+2HuhDfRAqWYQUjFjigYBLGo0UA
xYDdf0D1rXJyXMQN0dxoOwIDAQABMA0GCSqGSIb3DQEBBQUAA4IBAQDF42m6dsvT
kb7vdvvDhtIALxZn0bSmJlam3SNGQ6XhmT8Do6tGZMy7+w9z7p8Ksiybmgt0W/tV
piUOEhgdzr0FZqNiOSqOsOJYQ5oZGALCeU+zdh7ZjR2Z6/rzUgd92IB1HuifkkHF
/4mIc6ye0Ui8sM2WoPOLaYtTYd/nLnabRvuku9x9+0sXCXpYkPO+2yocHTYaKL96
du4pSonClR/JzjZO6ebJitImH0KchlWvb4JlzdOV5gheQMjoQ5LDWHOx1/A1LaKH
z8TmjvN76rMi5fWy46XM0uPV+phzMd6SIzNCkzUgp4stO7ibhmBPEb2GXaNMjE1p
qJpWUFdwPvR8
-----END CERTIFICATE-----

转载请注明:果果.IT » Nginx默认站点自签SSL证书

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (3)

  1. 密钥都能分享出来?
    牧羊人博客3个月前 (08-21)
  2. 这个是自签的证书,只是为了隐藏默认站点,没有实际用处
    果果3个月前 (09-02)