介绍
TLS 或传输层安全性及其前身 SSL 代表安全套接字层,是用于将正常流量包装在受保护的加密包装器中的 Web 协议。
使用这项技术,服务器可以在服务器和客户端之间安全地发送流量,而不必担心消息会被外部方截获和读取。 证书系统还帮助用户验证他们正在连接的站点的身份。
在本指南中,我们将向您展示如何设置自签名 SSL 证书以在 Ubuntu 14.04 服务器上与 Nginx Web 服务器一起使用。 自签名证书不会为您的用户验证您的服务器的身份,因为它不是由他们的 Web 浏览器受信任的证书颁发机构之一签名的,但它 将 允许您加密与您的 Web 客户端的通信。
注意: 您可能需要考虑使用 Let's Encrypt 而不是自签名证书。 Let's Encrypt 是一个新的证书颁发机构,可颁发大多数 Web 浏览器都信任的免费 SSL/TLS 证书。 查看教程以开始使用:如何在 Ubuntu 14.04 上使用 Let's Encrypt 保护 Nginx
先决条件
要开始使用本指南,您需要在服务器上设置一些基本内容。
您应该有一个具有 sudo 权限的非 root 用户。 您可以按照我们的 Ubuntu 14.04 初始服务器设置中的步骤 1-4 来了解如何设置此类用户帐户。
之后,您还需要安装 Nginx Web 服务器。 如果您想在您的服务器上安装整个 LEMP(Linux、Nginx、MySQL、PHP)堆栈,您可以按照我们关于 在 Ubuntu 14.04 上设置 LEMP 的指南进行操作。
如果你只想要 Nginx Web 服务器,你可以输入:
sudo apt-get update sudo apt-get install nginx
第一步——创建 SSL 证书
我们可以从创建一个用于保存所有 SSL 信息的目录开始。 我们应该在 Nginx 配置目录下创建它:
sudo mkdir /etc/nginx/ssl
现在我们有了放置文件的位置,我们可以通过键入以下内容一次性创建 SSL 密钥和证书文件:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt
您将被问到一系列问题。 在我们讨论之前,让我们看一下我们发出的命令中发生了什么:
- openssl:这是用于创建和管理 OpenSSL 证书、密钥和其他文件的基本命令行工具。
- req:此子命令指定我们要使用 X.509 证书签名请求 (CSR) 管理。 “X.509”是 SSL 和 TLS 遵循的公钥基础设施标准,用于其密钥和证书管理。 我们想创建一个新的 X.509 证书,所以我们使用这个子命令。
- -x509:这进一步修改了前面的子命令,告诉实用程序我们要制作自签名证书,而不是像通常发生的那样生成证书签名请求。
- -nodes:这告诉 OpenSSL 跳过使用密码保护我们的证书的选项。 当服务器启动时,我们需要 Nginx 能够读取文件,而无需用户干预。 密码可以防止这种情况发生,因为我们必须在每次重启后输入它。
- -days 365:此选项设置证书将被视为有效的时间长度。 我们在这里设置了一年。
- -newkey rsa:2048:这指定我们要同时生成一个新证书和一个新密钥。 我们没有在上一步中创建签署证书所需的密钥,因此我们需要将其与证书一起创建。
rsa:2048部分告诉它生成一个 2048 位长的 RSA 密钥。 - -keyout:这一行告诉 OpenSSL 将我们正在创建的生成的私钥文件放在哪里。
- -out:这告诉 OpenSSL 在哪里放置我们正在创建的证书。
如上所述,这些选项将创建密钥文件和证书。 我们将被问到一些关于我们服务器的问题,以便将信息正确地嵌入到证书中。
适当地填写提示。 最重要的行是请求 Common Name (e.g. server FQDN or YOUR name) 的行。 您需要输入要与服务器关联的域名。 如果您没有域名,则可以输入公共 IP 地址。
整个提示将如下所示:
国家名称(2 个字母代码)[AU]:美国州或省名称(全名)[Some-State]:纽约地区名称(例如,城市)[]:纽约市组织名称(例如,公司)[Internet Widgits Pty Ltd]: Bouncy Castles, Inc.组织单位名称(例如,部分)[]:水滑道部通用名称(例如 服务器 FQDN 或您的姓名)[]: your_domain.com电子邮件地址 []:管理员 @您的 _domain.com
您创建的两个文件都将放在 /etc/nginx/ssl 目录中。
第二步——配置 Nginx 以使用 SSL
我们已经在 Nginx 配置目录下创建了我们的密钥和证书文件。 现在我们只需要修改我们的 Nginx 配置以通过调整我们的服务器块文件来利用这些。 您可以在本文中了解有关 Nginx 服务器块 的更多信息。
Nginx 版本 0.7.14 及更高版本(Ubuntu 14.04 附带版本 1.4.6)可以在与常规 HTTP 流量相同的服务器块内启用 SSL。 这使我们能够以更简洁的方式配置对同一站点的访问。
您的服务器块可能如下所示:
服务器 { 听 80 default_server; 听 [::]:80 default_server ipv6only=on;
root /usr/share/nginx/html;
index index.html index.htm;
server_name your_domain.com;
location / {
try_files $uri $uri/ =404;
}
}
要让 SSL 在同一个服务器块上工作,同时仍然允许常规 HTTP 连接,我们唯一需要做的就是添加以下行:
服务器 { 听 80 default_server; 听 [::]:80 default_server ipv6only=on;
<span class="highlight">listen 443 ssl;</span>
root /usr/share/nginx/html;
index index.html index.htm;
server_name <span class="highlight">your_domain.com</span>;
<span class="highlight">ssl_certificate /etc/nginx/ssl/nginx.crt;</span>
<span class="highlight">ssl_certificate_key /etc/nginx/ssl/nginx.key;</span>
location / {
try_files $uri $uri/ =404;
}
}
完成后,保存并关闭文件。
现在,您所要做的就是重新启动 Nginx 以使用您的新设置:
sudo service nginx restart
这应该会重新加载您的站点配置,现在允许它响应 HTTP 和 HTTPS (SSL) 请求。
第三步——测试你的设置
您的站点现在应该具有 SSL 功能,但我们应该对其进行测试以确保。
首先,让我们测试以确保我们仍然可以使用普通 HTTP 访问该站点。 在您的网络浏览器中,转到您的服务器的域名或 IP 地址:
http :// server_domain_or_IP
您应该看到您的正常网站。 在我的示例中,我只是提供默认的 Nginx 页面:
如果您获得此页面,那么您的服务器仍在正确处理 HTTP 请求。
现在,我们可以检查我们的服务器是否可以使用 SSL 进行通信。 通过指定 https 协议而不是 http 协议来执行此操作。
https :// server_domain_or_IP
您可能会在 Web 浏览器中收到如下所示的警告:
这是意料之中的。 它告诉您它无法验证您尝试连接的服务器的身份,因为它没有由浏览器配置为信任的证书颁发机构签名。 由于我们创建了一个自签名证书,这非常有意义。
单击“继续”、“继续”或任何可用的类似选项。 您应该再次看到您的网站:
您的浏览器可能会在地址栏中显示被划掉的“https”或损坏或划掉的“锁定”图标。 如果单击锁定图标,您可以看到有关连接的更多信息:
如您所见,问题只是浏览器无法验证服务器的身份,因为它没有由配置为信任的证书颁发机构签名。 但是,中间部分显示连接是加密的,因此我们已经实现了该目标。
结论
您已将 Nginx 服务器配置为处理 HTTP 和 SSL 请求。 这将帮助您安全地与客户沟通,并避免外部各方能够读取您的流量。
如果您计划将 SSL 用于公共网站,您可能应该从受信任的证书颁发机构购买 SSL 证书,以防止向每个访问者显示可怕的警告。
