簡單介紹

Nginx是目前最新的高性能Web服務(wù)器，和傳統(tǒng)的Apache服務(wù)器相比，特別在大量的客戶并發(fā)連接下，性能要提高10倍以上。很多大型的PHP網(wǎng)站都采用了Nginx服務(wù)器。雖然Nginx采用是Linux2.6內(nèi)核和epull架構(gòu)的網(wǎng)絡(luò)I/O模型，但在使用上和Apache還是比較相似，是Apache一個(gè)非常不錯(cuò)的替代產(chǎn)品，下面主要介紹一下Nginx部署SSL證書的一些內(nèi)容。

SSL證書介紹

SSL證書是數(shù)字證書的一種，類似于駕駛證、護(hù)照和營業(yè)執(zhí)照的電子副本。因?yàn)榕渲迷诜?wù)器上，也稱為SSL服務(wù)器證書。SSL 證書就是遵守SSL協(xié)議，由受信任的數(shù)字證書頒發(fā)機(jī)構(gòu)CA，在驗(yàn)證服務(wù)器身份后頒發(fā)，具有服務(wù)器身份驗(yàn)證和數(shù)據(jù)傳輸加密功能。

SSL認(rèn)證原理

1.握手協(xié)議

握手協(xié)議是客戶機(jī)和服務(wù)器用SSL連接通信時(shí)使用的第一個(gè)子協(xié)議，握手協(xié)議包括客戶機(jī)與服務(wù)器之間的一系列消息。SSL中最復(fù)雜的協(xié)議就是握手協(xié)議。該協(xié)議允許服務(wù)器和客戶機(jī)相互驗(yàn)證，協(xié)商加密和MAC算法以及保密密鑰，用來保護(hù)在SSL記錄中發(fā)送的數(shù)據(jù)。握手協(xié)議是在應(yīng)用程序的數(shù)據(jù)傳輸之前使用的。

2.記錄協(xié)議

記錄協(xié)議在客戶機(jī)和服務(wù)器握手成功后使用，即客戶機(jī)和服務(wù)器鑒別對(duì)方和確定安全信息交換使用的算法后，進(jìn)入SSL記錄協(xié)議，記錄協(xié)議向SSL連接提供兩個(gè)服務(wù)：

（1）保密性：使用握手協(xié)議定義的秘密密鑰實(shí)現(xiàn)

（2）完整性：握手協(xié)議定義了MAC，用于保證消息完整性

3.警報(bào)協(xié)議

客戶機(jī)和服務(wù)器發(fā)現(xiàn)錯(cuò)誤時(shí)，向?qū)Ψ桨l(fā)送一個(gè)警報(bào)消息。如果是致命錯(cuò)誤，則算法立即關(guān)閉SSL連接，雙方還會(huì)先刪除相關(guān)的會(huì)話號(hào)，秘密和密鑰。每個(gè)警報(bào)消息共2個(gè)字節(jié)，第1個(gè)字節(jié)表示錯(cuò)誤類型，如果是警報(bào)，則值為1，如果是致命錯(cuò)誤，則值為2；第2個(gè)字節(jié)制定實(shí)際錯(cuò)誤類型。

SSL證書部署準(zhǔn)備工作

1.下載證書

證書下載后解壓縮會(huì)看見后綴 .key 和 .pem 的文件，把這兩個(gè)文件上傳到nginx服務(wù)器上，然后在conf文件下面創(chuàng)建cert文件夾，把證書拷貝到這個(gè)文件下面。

2.部署證書

./nginx -t 查看nginx安裝路徑，找到nginx.conf配置文件編輯

在server下面添加

server_name 你的域名地址;

listen 443 ssl;
ssl_certificate conf/cert/.pem;
ssl_certificate_key conf/cert/.key;

3.配置http自動(dòng)跳轉(zhuǎn)https

新增一個(gè)server新增以下配置

listen 80;
server_name 你的域名;
rewrite ^(.*)$ https://$host$1;

4.加載nginx配置

./nginx -s reload

最后打開網(wǎng)頁驗(yàn)證