предисловие
В этом блоге в основном объясняется, как использовать Nginx для развертывания SSL-сертификата интерфейса внутреннего приложения, чтобы реализовать интерфейс доступа по протоколу HTTPS (в этой статье используется развертывание IP-адреса общедоступной сети, читатели могут заменить его доменным именем).
Подать заявку на сертификат
Уведомление
Пожалуйста, подайте заявку на сертификат SSL на вашей платформе облачного сервиса. Как правило, срок действия сертификата составляет один год, и вам необходимо подать заявку еще раз, когда срок истечет.
Блогер здесь использует облачный сервер Alibaba Cloud. Alibaba Cloud может подать заявку на получение 20 SSL-сертификатов DigiCert бесплатно каждый год, но сертификат DigiCert не поддерживает привязку IP. Если вы введете IP, появится следующая ошибка
Globalsign、GeoTrust、vTrus、CFCA品牌OV单域名证书支持绑定IP,建议您购买Globalsign品牌的证书
Здесь мы объясняем ситуацию с использованием IP-адреса общедоступной сети для подачи заявки на сертификаты. Мы знаем, что, вообще говоря, сертификаты SSL предназначены только для установки доменного имени, и только некоторые сертификаты DV и OV поддерживают развертывание IP. Далее мы объясним применение бесплатного сертификата. шаги, которые можно развернуть с помощью IP
Если вы хотите развернуть [доменное имя], вы можете подать заявку и развернуть его под своим собственным поставщиком облачных услуг. Как правило, существует бесплатная квота, которая достаточна для частных лиц и более удобна.
Этапы подачи заявки
Описание: Бесплатные SSL-сертификаты и инструменты SSL — ZeroSSL
Затем выберите 90-дневный сертификат и подтвердите его все время.Затем выполните процесс проверки DNS или проверки файла HTTP.Метод проверки файла HTTP используется в качестве примера ниже.
Выберите «Загрузить файл аутентификации» и сохраните файл аутентификации в папке /usr/share/nginx/html/.well-known/pki-validation сервера, чтобы nginx на сервере отвечал на HTTP-доступ к файлу аутентификации.
location /.well-known/pki-validation/ {
root /usr/share/nginx/html/;
}
Это не обязательно должен быть указанный выше каталог, просто убедитесь, что у nginx есть права доступа к этому каталогу, иначе появится ошибка 403.
Затем разверните его в соответствии с официальным документом сертификата развертывания Nginx: Установка сертификата SSL на NGINX — ZeroSSL.
После загрузки всех файлов сертификатов SSL вам необходимо объединить файлы certificate.crt и ca_bundle.crt.
cat certificate.crt ca_bundle.crt >> certificate_merge.crt
конфигурация сертификата
Теперь порт 8080 сервера запустил внутренний интерфейс, затем я разверну сертификат SSL на IP-адрес общедоступной сети.
Настройте nginx.conf
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
ssl_certificate "/home/dev/certs/certificate_merge.crt";
ssl_certificate_key "/home/dev/certs/private.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers PROFILE=SYSTEM;
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
proxy_pass http://localhost:8080/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 100m;
}
}
# 重启 Nginx
systemctl restart nginx.service
Классификация сертификатов
Сертификат доменного имени (DV)
Сертификат SSL представляет собой простой сертификат SSL (класс 1), который только подтверждает право собственности на доменное имя веб-сайта. Он может быть выдан быстро за 10 минут и может выполнять роль зашифрованной передачи, но не может подтвердить настоящую идентичность веб-сайта. пользователю.
Все бесплатные сертификаты, имеющиеся в настоящее время на рынке, относятся к этому типу, который обеспечивает только шифрование данных, но не проверяет личность человека или организации, предоставляющей сертификат.
Сертификат организации/предприятия (OV)
Он используется для проверки того, что доменное имя принадлежит конкретной компании, организации или учреждению, а также что личность субъекта заявки юридически зарегистрирована или признана органом власти.
Он обеспечивает функции шифрования, проводит строгую проверку личности и заявителей, а также предоставляет надежные сертификаты личности. Отличие от DV SSL заключается в том, что OV SSL обеспечивает аудит отдельных лиц или организаций, который может подтвердить личность другой стороны и является более безопасным. Обычно сертификат о гонораре
Расширенный сертификат (EV)
Сертификаты расширенной проверки (EV) в настоящее время являются наиболее надежными доступными сертификатами SSL. Аудит центра сертификации является чрезвычайно строгим. Расширенные сертификаты имеют высочайший уровень надежности и безопасности. Отображение зеленой адресной строки с названием компании является одной из его отличительных особенностей. Это может сделать посетителей более уверенными в том, что веб-сайт, с которым они совершают транзакции, является подлинным и юридическим, тем самым увеличивая количество онлайн-транзакций. объем.
Финансовые ценные бумаги, банки, платежи третьим лицам, интернет-торговые центры и т. д., веб-сайты, которые подчеркивают безопасность веб-сайтов и корпоративный авторитетный имидж, предполагают оплату транзакций, передачу информации о конфиденциальности клиентов и паролей учетных записей. Эта часть требований к проверке является самой высокой, а плата за подачу заявления также является самой дорогой.
справочная статья
рекомендуется к прочтению
Эта статья опубликована OpenWrite, многопостовой платформой для ведения блогов !