在上篇文章《【实战 Ids4】║客户端、服务端、授权中心全线打通!》中,我们正式的将三站打通,发布过后,有小伙伴反馈,可能Nginx对配置HTTPS安全协议有点儿问题,我也就半夜趁着没人打扰,疯狂的研究一波,发现其实挺简单的,不知道是不是我没有理解小伙伴提出的疑问点。 好了,马上开始。
其实关于配置HTTPS,主要的就是证书的问题,证书呢,又是公钥和私钥的方案,剩下的就是配置了,归根结底,只要我们搞到证书就行了,这里常见的是两种方案:
1、OpenSSL本地安装;(不推荐)
2、云平台免费申请SSL证书(本文讲的是腾讯云);
那我就简单的说说这两种方式吧。
OpenSSL本地安装
这种方案呢,主要是如果自己没有云服务平台,没有其他的信息,或者不想麻烦,只是想本地测试一波,可以简单的这么搞搞。
1、安装OpenSSL工具
官网下载地址:https://slproweb.com/products/Win32OpenSSL.html
2、解压安装证书
解压安装完成后,找到安装目录,去bin文件夹下,执行命令,如果你想使用命令,需要配置环境变量,但是如果不想配置,就直接用powershell来运行exe即可:
.openssl.exe req -newkey rsa:2048 -nodes -keyout laozhang.key -x509 -days 365 -out laozhang.cer
然后会提示让你输入一些内容,自己配置一下就行,比如我的:
这里生成了一个.key文件,还有一个.cer文件,具体的就是私钥和公钥,自己可以搜索下资料,这里不多说。
3、Nginx配置443
现在我们有了证书,就可以配置HTTPS转发了,如果你使用过IIS的肯定都知道,我们只需要配置一下443端口即可,Nginx也是如何,直接上代码:
代码语言:javascript复制
server {
listen 443 ssl; #443端口
server_name ids.neters.club; #网站域名,和80端口保持一致
ssl on;
ssl_certificate laozhang.cer; #证书公钥
ssl_certificate_key laozhang.key; #证书私钥
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!3DES:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://ids.neters.club;
proxy_redirect off;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Cookie $http_cookie;
#proxy_cookie_path
chunked_transfer_encoding off;
}
}
基本的配置方式和80很像,前提是你得配置好80端口,然后再配置443端口。
然后我们重启nginx,查看效果.
这里要说一下,这个证书是正确的,但是却是无效的,如果你有一定的计算机网络的经验呢,就知道了,不仅仅是证书正确就行了,还需要进行校验,比如常见的是:
1、文件校验;
2、邮件校验;
3、DNS校验;
刚刚咱们创建的,如果配置好后,我们虽然可以可以访问https,但是连接是不安全的,因为没有校验:
那这个时候怎么办呢,既然我们有域名,肯定就有对应的DNS运行商,让他们给我配置校验就好了,直接我们就在云平台申请即可,我说下我在腾讯云的申请。
云平台申请SSL证书
过程很简单,我们只需要取ssl页面,申请个免费的即可:
然后配置上我们的域名,和校验方式,
等待官方自动校验审核,大概0.5~1个小时左右,就通过了,我们下载下来可以看到,官方很人性化的给我们提供了多个服务器版本的文件,我们打开Nginx就可以看到两个文件了:
你可能会好奇,为啥是.crt文件,上边不是.cer文件么,这个可以问问计算机网络老师。
然后我们把文件提交到服务器,重启下Nginx,就看到了绿色的了:
三方调整请求域名
这个就是很简单的,只需要把之前的域名改成https的即可:
Blog.IdentityServer:
Blog.Core:
Blog.Admin:
强制转换HTTPS
如果说,你不想用http了,可以配置强制转到https上,nginx还是很强大的,我测试过可以,无论是重写的方式,还是return的方式,但是目前不想强制转换,大家自己试试就知道了。