Nginx服務(wù)器中配置https安全協(xié)議快速入門(mén)

　　一. 簡(jiǎn)介

　　HTTP是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，是一個(gè)客戶端和服務(wù)器端請(qǐng)求和應(yīng)答的標(biāo)準(zhǔn)(TCP)，用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。

　　HTTPS是以網(wǎng)絡(luò)安全為目標(biāo)的HTTP通道，簡(jiǎn)單地講就是HTTP的安全版，即HTTP中加入了SSL層，HTTPS的安全基礎(chǔ)就是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。如我們經(jīng)常訪問(wèn)的百度：

　　二. https和http區(qū)別

　　HTTP與HTTPS的區(qū)別：

　　https協(xié)議需要到ca申請(qǐng)證書(shū)，一般免費(fèi)證書(shū)較少，大多需要一定的費(fèi)用;

　　http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協(xié)議;

　　http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443;

　　http的連接很簡(jiǎn)單，是無(wú)狀態(tài)的;https協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的，可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

　　三. https協(xié)議優(yōu)缺點(diǎn)

　　優(yōu)點(diǎn)

　　使用HTTPS協(xié)議可認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;

　　HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全，可防止數(shù)據(jù)在傳輸過(guò)程中不被竊取、改變，確保數(shù)據(jù)的完整性;

　　HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案，雖然不是絕對(duì)安全，但它大幅增加了中間人攻擊的成本。

　　缺點(diǎn)

　　HTTPS協(xié)議握手階段比較費(fèi)時(shí)，會(huì)使頁(yè)面的加載時(shí)間延長(zhǎng)近50%，增加10%到20%的耗電;

　　HTTPS連接緩存不如HTTP高效，會(huì)增加數(shù)據(jù)開(kāi)銷(xiāo)和功耗，甚至已有的安全措施也會(huì)因此而受到影響;

　　SSL證書(shū)需要錢(qián)，功能越強(qiáng)大的證書(shū)費(fèi)用越高，個(gè)人網(wǎng)站、小網(wǎng)站沒(méi)有必要一般不會(huì)用;

　　SSL證書(shū)通常需要綁定IP，不能在同一IP上綁定多個(gè)域名，IPv4資源不可能支撐這個(gè)消耗;

　　HTTPS協(xié)議的加密范圍也比較有限，在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。最關(guān)鍵的是，SSL證書(shū)的信用鏈體系并不安全，特別是在某些國(guó)家可以控制CA根證書(shū)的情況下，中間人攻擊一樣可行。

　　四. nginx中配置https

　　1. 準(zhǔn)備證書(shū)

　　要想正式使用https協(xié)議，我們需要先行購(gòu)買(mǎi)CA證書(shū)(本教程是通過(guò)對(duì)接 阿里云平臺(tái)免費(fèi)獲得)。

　　2.下載證書(shū)到本地

　　然后我們登錄數(shù)字證書(shū)管理服務(wù)控制臺(tái)，在左側(cè)導(dǎo)航欄單擊SSL證書(shū)，如下圖所示：

　　接著單擊目標(biāo)證書(shū)操作列的下載按鈕，在證書(shū)下載面板，單擊Nginx服務(wù)器對(duì)應(yīng)的操作列下載按鈕。

　　該操作會(huì)將Nginx服務(wù)器的證書(shū)壓縮包下載到本地，并保存在瀏覽器的默認(rèn)下載位置。

　　解壓縮證書(shū)

　　然后我們打開(kāi)瀏覽器的默認(rèn)下載位置，解壓已下載的Nginx服務(wù)器證書(shū)壓縮包文件。解壓后我們將會(huì)獲得以下文件：

　　www.javaqf.com.key         www.javaqf.com.pem

　　4. 在Nginx服務(wù)器上安裝證書(shū)

　　首先我們需要登錄Nginx服務(wù)器。執(zhí)行以下命令，在Nginx安裝目錄(默認(rèn)為/usr/local/nginx/conf)下創(chuàng)建一個(gè)用于存放證書(shū)的目錄：

　　文件中的配置內(nèi)容如下所示：

　　5. 接入流程(最終個(gè)人本地配置示例)

　　這里我們需要將協(xié)議更改為HTTPS配置文件，我的配置如下所示：

　　最后我們就可以在瀏覽器中通過(guò)https協(xié)議進(jìn)行訪問(wèn)了，比如：https://www.你的域名.com/

　　現(xiàn)在你知道如何在nginx服務(wù)器中配置https協(xié)議了嗎?如果你還有其他問(wèn)題，可以在評(píng)論區(qū)給我留言哦。關(guān)注Java架構(gòu)棧，干貨天天都不斷哦!