為了互聯網安全HTTS化勢在必行，但是證書首先需要花錢購買，雖然有很多免費證書可以申請，但而且還必須要有個域名才能通過驗證。實際中我們有一些內部的系統或者某些測試環境沒有域名或者無需設置域名，這種情況下如何使用HTTPS呢，那就是本文蟲蟲要給大家介紹的自簽名證書方式。

安裝升級openSSL

OpenSSL是整個底層加密算法庫和工具的基礎。

我們的Web服務器要依賴它的類庫來實現SSL/TSL模塊和HTTPS的工作。在簽發證書時候也需要使用OpenSSL。在自簽名生成時候，我們可以使用其他更加專業的軟件，比如GPG，關於GPG使用我們以前文章中介紹過，大家可以參考歷史文章。本文為了方便，證書的簽發都用OpenSSL。

由於OpenSSL升級可能影響很多軟件，我們先不直接升級，而生成一個新版本的OpenSSL在/usr/local/ssl目錄，這樣不影響已有有版本的其他軟件。

首先下載最新版本的OpenSSL，為了兼容我們選擇1.0.2系列版本：

wget Url --no-check-certificate

tar -zxvf openssl-*.tar.gz

cd openssl-*

./config -fpic shared && make && make install

echo "/usr/local/ssl/lib" >> /etc/ld.so.conf

ldconfig

生成自簽名證書

子簽名證書的使用商用證書一樣，不過證書需要自己生成。首先確保OpenSSL升級到新版本，或者通過yum update openssl升級確保解決已有的ssl漏洞。

mkdir /etc/ssl

chmod 700 /etc/ssl

/usr/local/openssl/bin/openssl req -newkey rsa:2048 -nodes -keyout /etc/ssl/rsa_private.key -x509 -days 888 -out cert.crt -subj /C=CN/ST=BJ/L=CY/O=CC/OU=OP/CN=Chongchong/[email protected]

為了避免創建證書過程中的交互式信息填寫，我們此處使用-subj參數指定了一些參數，實際使用中可以根據需要自己設置:

C=CN ← 國家代號，中國輸入CN

ST=BJ ← 州（省）名

L=CY ← 所在地市的名稱

O=CC ← 組織或者公司名稱

OU=OP ← 部門名稱

CN=Chongchong ← 通用名，可以是服務器域控名稱，或者個人的名字

[email protected] ← 管理郵箱名

會生成網站私鑰rsa_private.key和網站證書cert.crt都準備完畢。證書的驗證可以在設置成功後。為了證書安全設置權限：

chmod 600 /etc/ssl/*

Nginx HTTPS安全配置

確保nginx使用最新版本的nginx(目前版本為1.15.11,1.12.2)，如果系統是用的其他應用服務器，一般做法是給新增加nginx做為反向代理，代理到應用服務器，比如tomcat，然後在Nginx反向代理商配置https。

新開一個虛擬主機，並在server{ .. . }段中設置：

注意nginx新語法中已經不使用ssl on；而是在listen語句中添加ssl；443為默認https端口，根據實際情況修改為別的。

listen *:443 ssl;

ssl_certificate / etc/ssl/cert.crt;

ssl_certificate_key / etc/ssl/rsa_private.key;

ssl_protocols TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

ssl_ecdh_curve secp384r1;

ssl_session_cache shared:SSL:10m;

ssl_session_tickets off;

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

其中的路徑是剛剛生成的網站證書的路徑。根據網站實際情況配置可能有差異，我們可以使用Mozilla的服務器端TLS配置在線生成器,這個我們以前的文章中也提到過：

配置完成後，使用nginx命令檢測配置和重新加載Nginx：

檢測配置：

nginx -t

重新加載：

nginx -s reload

Nginx優化配置

優化Nginx性能

在http{.. .}中加入：

ssl_session_cache shared:SSL:10m;

ssl_session_timeout 10m;

增加session緩存可以提高nginx處理https的性能。

在配置https的虛擬主機server{.. .}中加入：

keepalive_timeout 70;

設置超時，可以由於超時導致等待導致性能問題

fastcgi ssl配置

有時候啟用https後，有些php程序認證通過後，出現跳轉頁面錯誤錯誤，跳轉到http導致問題。

解決方法是定位至"location ~ .*\.(php|php5)?${}"在include fcgi.conf;或者在fastcgi_param配置後面加上：

fastcgi_param HTTPS on;

fastcgi_param HTTP_SCHEME https;

瀏覽器添加網站信任

使用自簽名的https證書，默認瀏覽器是拒絕訪問的，需要把該網站添加到瀏覽器信任列表才能訪問。

添加信任的方法：

firefox

點擊高級，將要訪問url添加到信任即可：

Chrome

Chrome設置類似，點擊高級

點擊繼續前往

證書驗證

查看我們自簽名的證書信息：

和第二部我們生成證書時候設置的參數一致。

閱讀更多 蟲蟲安全 的文章

關鍵字: 軟件 測試環境 Tomcat