Linux Nginx之HTTPS网络安全访问服务

①. 网络安全问题-数据机密性问题

传输的数据可能会被第三方随时都能看到

②. 网络安全问题-数据完整性问题

传输的数据不能随意让任何人进行修改

③. 网络安全问题-身份验证问题

第一次通讯时，需要确认通讯双方的身份正确

利用相应算法，对传输数据(明文数据)进行加密(密文数据)；再利用对应算法，将加密数据解密变为真实数据

优点：实现了数据机密传输，避免了明文传输数据的危险性。

缺点：利用加密算法，将明文改密文，如果第三方获得加密算法，即可将传输密文再次变为明文

b） 利用对称加密算法解决机密性(重要的一种加密方式)

对称加密算法就好比将普通算法的规则手册放入到了保险柜里，只有获取保险柜和保险柜钥匙才能获取《算法手册》

优点：密钥加密算法计算速度非常快；解决了普通加密算法的安全问题

缺点：加解密过程的安全性完全依赖于密钥，并且对称加密密钥是公开的，当通讯加密对象过多时，无法解决密钥管理问题。

根据数据生成特征码(数据指纹信息)；接收数据方获取数据信息算出特征码，验证是否与发送过来的特征码一致

若特征码一致，表示数据完整性没被破坏；若特征码不一致，表示数据已被破坏，直接丢弃

****************************************************************************

扩展说明：

01：不同数据的特征码(数据指纹信息)是不可能一致的

单项加密算法特征

· 数据输入一样，特征码信息输出必然相同

· 雪崩效应，输入的微小改变，将造成输出的巨大改变

· 定长输出，无论源数据多大，但结果都是一样的

· 不可逆的，无法根据数据指纹，还原出原来的数据信息。

****************************************************************************

优点：有效的解决了数据完整性问题

缺点：没有考虑中间人×××对数据信息的影响

利用对称加密算法对数据加密的同时，也对特征码进行加密；

接收方拥有和发送方一样的密钥，才可以解密加密后的数据和特征码

而中间人加密的特征码是没有办法让接收方进行解密的，所以接收方获取不了特征码，直接丢弃数据

****************************************************************************

扩展说明：

01：那么对称密钥如何有效的让通讯双方获取呢

需要进行对称密钥协商过程，即通过密钥交换机制（Internet key exchange IKE）

实现密钥交换机制的协议称为diffie-hellman协议

****************************************************************************

发送方建立私钥和公钥，将公钥发送给接收方，从而实现发送数据方的身份验证

公钥信息在网站访问过程中，被称为证书（×××）

1. 解决身份验证问题

2. 解决数据完整性问题

3. 解决数据机密性问题

而解决身份验证问题，最主要的方式就是借助私钥和公钥

而最主要的公钥信息获取就变得尤为重要；利用第三方公正者，公正公钥信息

证书的合法拥有人信息

证书该如何被使用（不用关注）

CA颁发机构信息

CA签名的校验码

其主要库是以C语言所写成，实现了基本的加密功能，实现了SSL与TLS协议。OpenSSL可以运行在OpenVMS、 Microsoft Windows以及绝大多数类Unix操作系统上（包括Solaris，Linux，Mac OS X与各种版本的开放源代码BSD操作系统）。它也提供了一个移植版本，可以在IBM i（OS/400）上运作。

虽然此软件是开放源代码的，但其许可书条款与GPL有冲突之处，故GPL软件使用OpenSSL时（如Wget）必须对OpenSSL给予例外。

说明：基本上openssl配置文件不需要运维过多修改配置

# openssl enc -des3 -salt -a -in inittab -out initab.des3 <- 输入密码后即加密成功

# openssl enc -des3 -d -salt -a -in initab.des3 -out inittab  <- 输入密钥后即解密成功

说明：其中命令中的salt参数，主要用于避免密码加密后，对密钥串的反推

#生成和用户一样的密码串

openssl passwd -1 <- 采用md5加密用户密码串,将明文密码转换为密文

说明：企业中实现修改数据库中用户密码信息，实现用户密码信息重置

#生成伪随机数方法

openssl rand -base64 45 <- 给出一个任意的数字，就会生成任意的随机数

1) 生成私钥（出生证明）和请求证书文件（户口本） --- 运维需要完成

2）根据请求证书文件信息，证书颁发机构生成证书文件（×××） --- 证书颁发机构来完成

3）企业网站利用证书，实现用户安全认证访问 --- 运维需要完成

openssl genrsa 2048 >server.key <- 创建私钥信息，并指定私钥的长度为2048，并将生成

的私钥信息保存在一个文件中

openssl genrsa -out server.key 2048 <- 将私钥信息直接进行保存，加密长度一定要放在输出

文件后面

(umask 077;openssl genrsa -out server1024.key 1024) <- 利用小括号，实现子shell功能，

临时修改umask，使之创建的私钥文件权限为600

[[email protected] ~]# openssl req -new -x509 -key server1024.key -out server.crt -days 365

req <- 用于创建新的证书

new <- 表示创建的是新的证书

x509 <- 表示定义证书的格式为标准格式

key <- 表示调用的私钥文件信息

out <- 表示输出证书文件信息

days <- 表示证书的有效期

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN <- 定义生成证书的国家

State or Province Name (full name) []:BJ <- 定义生成证书的省份

Locality Name (eg, city) [Default City]:BJ <- 定义生成证书的城市

Organization Name (eg, company) [Default Company Ltd]:oldboy <- 定义生成证书的组织

Organizational Unit Name (eg, section) []:it <- 定义生成证书的职能部门

Common Name (eg, your name or your server's hostname) []:oldboy.com.cn <- 定义主机服务器名称

说明：此输出信息非常重要，客户端在获取证书前，会利用主机名与相应服务器之间建立连接，然后获得证书

Email Address []:

#openssl x509 -text -in server.crt <- 用于查看证书中的信息

(umask 077;openssl genrsa -out ./cakey.pem 2048) <- 创建一个ca私钥文件

cd /etc/pki/CA <- 进入到CA自签发保存目录中

openssl req -new -x509 -key private/cakey.pem -out cacert.pem <- 生成自签发证书

说明：由于下面配置文件中定义了一些证书信息，所以默认输入即可

# yum install openssl

# yum install openssl-devel

# cd /application/nginx/conf/ <- 编译安装Nginx的程序目录

# mkdir key

# cd key/

创建服务器私钥，命令会让你输入一个口令： 这里输入的是oldboy

# openssl genrsa -des3 -out server.key 1024

Generating RSA private key, 1024 bit long modulus

......................++++++

...................++++++

e is 65537 (0x10001)

Enter pass phrase for server.key:

Verifying - Enter pass phrase for server.key:

创建签名请求的证书（CSR）：

openssl req -new -key server.key -out server.csr

扩展说明：去掉私钥文件口令密码信息

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key <- 生成无口令的私钥

修改Nginx配置文件，让其包含新标记的证书和私钥：

server {

server_name YOUR_DOMAINNAME_HERE;

listen 443;

ssl on;

ssl_certificate /application/nginx/conf/key/server.crt;

ssl_certificate_key /application/nginx/conf/key/server.key;

}

server {

listen 80;

server_name www.etiantian.org;

rewrite ^(.*)$ https://$host$1 permanent;

}

说明：在https配置server基础上再添加http跳转server

server {

listen 443;

listen 80;

server_name www.etiantian.org;

ssl on;

ssl_certificate /application/nginx/conf/key/server.crt;

ssl_certificate_key /application/nginx/conf/key/server.key;

location / {

root html/www;

index index.html index.htm;

}

error_page 497 https://$host$uri;

}

说明：497为内置错误码，当访问http无法处理，需要利用https处理时

server {

listen 80;

server_name www.etiantian.org;

return 301 https://$host$uri;

}

说明：在https配置server基础上再添加http跳转server

upstream www_server_pools {

server 10.0.0.7:443;

server 10.0.0.8:443;

server 10.0.0.9:443;

}

server {

listen 443;

server_name www.etiantian.org;

ssl on;

ssl_certificate /application/nginx/conf/key/server.crt;

ssl_certificate_key /application/nginx/conf/key/server.key;

location / {

proxy_pass https://www_server_pools;

}

}

server {

listen 80;

server_name www.etiantian.org;

rewrite ^(.*)$ https://$host$1 permanent;

}

http://nginx.org/en/docs/http/ngx_http_ssl_module.html

②. 熟悉创建私钥 生成请求证书过程

③. 获取证书颁发机构颁发的证书，进行配置应用

PS：如果企业有条件，尽量使用付费证书。