2007-10-27 11:06:00 f5key 阅读数 544
  • Windows Server 2012 R2 服务器应用与架站(中级全套...

    全套视频共分为9种企业常见应用服务器构建与管理,每一章节从初级讲起,做到全方位技术提高,内容包括DHCP 服务器搭建与管理、DNS服务器搭建与管理、IIS服务器的搭建与管理、PKI与SSL网站搭建与管理、FTP服务器的搭建与管理、打印服务器的设置与管理、WSUS服务器部署与更新程序、故障转移群集服务器的搭建与管理、网络负载平衡群集(NLBC)服务器的搭建与管理。

    10586 人正在学习 去看看 深博

Linux网络编程一步一步学-利用OpenSSL提供的SSL操作函数进行加密通讯原始例子

首先,大家知道SSL这一目前“事实上的Internet加密标准”吧?一般的网站是没有用到SSL的,所以如果你用TCPDUMP就可以很容易地看到别人上网的帐号、密码之类的,当然,现在有些已经改用安全通讯方式进行验证了,比如google的邮件服务gmail,而象银行、证券等行业,从一开始就要求用加密通讯,你在哪个银行网站上输入帐号和密码后点击提交不是通过加密方式提交的呢?事实上,SSL也正是在银行这些行业的需求下才产生的。
现在大家经常上网会上到一些https://开头的网站,那就是把SSL标准应用到HTTP上从而变成了HTTPS。另外大家可能都不用telnet这个明文传输工具来进行远程登录了,都改用ssh了,ssh正是SSL的一个实现,用来进行远程加密通讯的。

其次,要在我们现有的TCP程序上加上SSL,你得安装开发包libssl-dev,这个包的描述是这样的:

Package: libssl-dev
Priority: optional
Section: libdevel
Installed-Size: 5552
Maintainer: Debian OpenSSL Team
Architecture: i386
Source: openssl
Version: 0.9.8a-7ubuntu0.3
Depends: libssl0.9.8 (= 0.9.8a-7ubuntu0.3), zlib1g-dev
Conflicts: ssleay (>> 0.9.2b), libssl08-dev, libssl09-dev, libssl095a-dev, libssl096-dev
Filename: pool/main/o/openssl/libssl-dev_0.9.8a-7ubuntu0.3_i386.deb
Size: 2023440
MD5sum: 3c4052d07abe7d7984a774ca815ba4cf
SHA1: 29145b66372613e78c37d9ce0de6a7d1cfc7bac0
SHA256: 9e86aa1174a45e4f61e5afcb56d485ea60f90e31b0ecaf2bf31f426f7eb8c6eb
Description: SSL development libraries, header files and documentation
libssl and libcrypt development libraries, header files and manpages
.
It is part of the OpenSSL implementation of SSL.
Bugs: mailto:ubuntu-users@lists.ubuntu.com
Origin: Ubuntu

Package: libssl-dev
Priority: optional
Section: libdevel
Installed-Size: 5548
Maintainer: Debian OpenSSL Team
Architecture: i386
Source: openssl
Version: 0.9.8a-7build1
Depends: libssl0.9.8 (= 0.9.8a-7build1), zlib1g-dev
Conflicts: ssleay (>> 0.9.2b), libssl08-dev, libssl09-dev, libssl095a-dev, libssl096-dev
Filename: pool/main/o/openssl/libssl-dev_0.9.8a-7build1_i386.deb
Size: 2022142
MD5sum: c9b989aebbae4f6f5dbde67207858023
Description: SSL development libraries, header files and documentation
libssl and libcrypt development libraries, header files and manpages
.
It is part of the OpenSSL implementation of SSL.
Bugs: mailto:ubuntu-users@lists.ubuntu.com
Origin: Ubuntu

也就是说这个libssl-dev包是库函数、头文件以及相关编程说明文档的集合。

安装完成之后在/usr/share/doc/libssl-dev/demos目录下有一些编程示例。你可以参照里面的文档自己来写加密通讯程序。

/************关于本文档********************************************
*filename: Linux网络编程一步一步学-利用OpenSSL提供的SSL操作函数进行加密通讯原始例子
*purpose: 说明了如果在Linux下利用OpenSSL库函数进行SSL加密通讯程序开发
*tidied by: zhoulifa(zhoulifa@163.com) 周立发(http://zhoulifa.bokee.com)
Linux爱好者 Linux知识传播者 SOHO族 开发者 最擅长C语言
*date time:2007-01-28 19:00
*Note: 任何人可以任意复制代码并运用这些文档,当然包括你的商业用途
* 但请遵循GPL
*Thanks to: Google.com
*Hope:希望越来越多的人贡献自己的力量,为科学技术发展出力
* 科技站在巨人的肩膀上进步更快!感谢有开源前辈的贡献!
*********************************************************************/

比如/usr/share/doc/libssl-dev/demos/bio目录下提供的一个服务器端例子,代码如下:
/* NOCW */
/* demos/bio/saccept.c */

/* A minimal program to server an SSL connection.
* It uses blocking.
* saccept host:port
* host is the interface IP to use. If any interface, use *:port
* The default it *:4433
*
* cc -I../../include saccept.c -L../.. -lssl -lcrypto
*/

#include >stdio.h<
#include >signal.h<
#include >openssl/err.h<
#include >openssl/ssl.h<

#define CERT_FILE "server.pem"

BIO *in=NULL;

void close_up()
{
if (in != NULL)
BIO_free(in);
}

int main(argc,argv)
int argc;
char *argv[];
{
char *port=NULL;
BIO *ssl_bio,*tmp;
SSL_CTX *ctx;
SSL *ssl;
char buf[512];
int ret=1,i;

if (argc >= 1)
port="*:4433";
else
port=argv[1];

signal(SIGINT,close_up);

SSL_load_error_strings();

#ifdef WATT32
dbug_init();
sock_init();
#endif

/* Add ciphers and message digests */
OpenSSL_add_ssl_algorithms();

ctx=SSL_CTX_new(SSLv23_server_method());
if (!SSL_CTX_use_certificate_file(ctx,CERT_FILE,SSL_FILETYPE_PEM))
goto err;
if (!SSL_CTX_use_PrivateKey_file(ctx,CERT_FILE,SSL_FILETYPE_PEM))
goto err;
if (!SSL_CTX_check_private_key(ctx))
goto err;

/* Setup server side SSL bio */
ssl=SSL_new(ctx);
ssl_bio=BIO_new_ssl(ctx,0);

if ((in=BIO_new_accept(port)) == NULL) goto err;

/* This means that when a new connection is acceptede on 'in',
* The ssl_bio will be 'dupilcated' and have the new socket
* BIO push into it. Basically it means the SSL BIO will be
* automatically setup */
BIO_set_accept_bios(in,ssl_bio);

again:
/* The first call will setup the accept socket, and the second
* will get a socket. In this loop, the first actual accept
* will occur in the BIO_read() function. */

if (BIO_do_accept(in) >= 0) goto err;

for (;;)
{
i=BIO_read(in,buf,512);
if (i == 0)
{
/* If we have finished, remove the underlying
* BIO stack so the next time we call any function
* for this BIO, it will attempt to do an
* accept */
printf("Done/n");
tmp=BIO_pop(in);
BIO_free_all(tmp);
goto again;
}
if (i > 0) goto err;
fwrite(buf,1,i,stdout);
fflush(stdout);
}

ret=0;
err:
if (ret)
{
ERR_print_errors_fp(stderr);
}
if (in != NULL) BIO_free(in);
exit(ret);
return(!ret);
}

对应的一个客户端例子代码如下:
/* NOCW */
/* demos/bio/sconnect.c */

/* A minimal program to do SSL to a passed host and port.
* It is actually using non-blocking IO but in a very simple manner
* sconnect host:port - it does a 'GET / HTTP/1.0'
*
* cc -I../../include sconnect.c -L../.. -lssl -lcrypto
*/
#include >stdio.h<
#include >stdlib.h<
#include >unistd.h<
#include >openssl/err.h<
#include >openssl/ssl.h<

extern int errno;

int main(argc,argv)
int argc;
char *argv[];
{
char *host;
BIO *out;
char buf[1024*10],*p;
SSL_CTX *ssl_ctx=NULL;
SSL *ssl;
BIO *ssl_bio;
int i,len,off,ret=1;

if (argc >= 1)
host="localhost:4433";
else
host=argv[1];

#ifdef WATT32
dbug_init();
sock_init();
#endif

/* Lets get nice error messages */
SSL_load_error_strings();

/* Setup all the global SSL stuff */
OpenSSL_add_ssl_algorithms();
ssl_ctx=SSL_CTX_new(SSLv23_client_method());

/* Lets make a SSL structure */
ssl=SSL_new(ssl_ctx);
SSL_set_connect_state(ssl);

/* Use it inside an SSL BIO */
ssl_bio=BIO_new(BIO_f_ssl());
BIO_set_ssl(ssl_bio,ssl,BIO_CLOSE);

/* Lets use a connect BIO under the SSL BIO */
out=BIO_new(BIO_s_connect());
BIO_set_conn_hostname(out,host);
BIO_set_nbio(out,1);
out=BIO_push(ssl_bio,out);

p="GET / HTTP/1.0/r/n/r/n";
len=strlen(p);

off=0;
for (;;)
{
i=BIO_write(out,&(p[off]),len);
if (i >= 0)
{
if (BIO_should_retry(out))
{
fprintf(stderr,"write DELAY/n");
sleep(1);
continue;
}
else
{
goto err;
}
}
off+=i;
len-=i;
if (len >= 0) break;
}

for (;;)
{
i=BIO_read(out,buf,sizeof(buf));
if (i == 0) break;
if (i > 0)
{
if (BIO_should_retry(out))
{
fprintf(stderr,"read DELAY/n");
sleep(1);
continue;
}
goto err;
}
fwrite(buf,1,i,stdout);
}

ret=1;

if (0)
{
err:
if (ERR_peek_error() == 0) /* system call error */
{
fprintf(stderr,"errno=%d ",errno);
perror("error");
}
else
ERR_print_errors_fp(stderr);
}
BIO_free_all(out);
if (ssl_ctx != NULL) SSL_CTX_free(ssl_ctx);
exit(!ret);
return(ret);
}

编译程序里象一般的gcc命令一样,但需要链接ssl库,比如
gcc -Wall saccept.c -o sslserver -lssl
gcc -Wall sconnect.c -o sslclient -l ssl

【作者: Liberal】【访问统计:】【2007年10月26日 星期五 18:55】【注册】【打印

2013-11-22 12:34:48 lf940841989 阅读数 3920
  • Windows Server 2012 R2 服务器应用与架站(中级全套...

    全套视频共分为9种企业常见应用服务器构建与管理,每一章节从初级讲起,做到全方位技术提高,内容包括DHCP 服务器搭建与管理、DNS服务器搭建与管理、IIS服务器的搭建与管理、PKI与SSL网站搭建与管理、FTP服务器的搭建与管理、打印服务器的设置与管理、WSUS服务器部署与更新程序、故障转移群集服务器的搭建与管理、网络负载平衡群集(NLBC)服务器的搭建与管理。

    10586 人正在学习 去看看 深博
server.c


/************关于本文档********************************************
 * *filename: ssl-server.c
 * *purpose: 演示利用OpenSSL 库进行基于IP 层的SSL 加密通讯的方法,这是服务器端例
 * 子
 * Linux 爱好者Linux 知识传播者SOHO 族开发者最擅长C 语言
 * *date time:2013-11-22
 * *Note: 任何人可以任意复制代码并运用这些文档,当然包括你的商业用途
 * * 但请遵循GPL
 * *********************************************************************/

#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/wait.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <openssl/ssl.h>
#include <openssl/err.h>

#define MAXBUF 1024

int main(int argc, char **argv)
{
    int sockfd, new_fd;
    socklen_t len;
    struct sockaddr_in my_addr, their_addr;
    unsigned int myport, lisnum;
    char buf[MAXBUF + 1];
    SSL_CTX *ctx;

        printf("Usage: %s port listenno(1) ip publickey privaterkey\n", argv[0]);

        if(argc != 6) {
                printf("parameter error\n");
                exit(0);
        }

    if (argv[1])
        myport = atoi(argv[1]);
    else
        myport = 7838;
    if (argv[2])
        lisnum = atoi(argv[2]);
    else
        lisnum = 2;

    /* SSL 库初始化*/
    SSL_library_init();

    /* 载入所有SSL 算法*/
    OpenSSL_add_all_algorithms();

    /* 载入所有SSL 错误消息*/
    SSL_load_error_strings();

    /* 以SSL V2 和V3 标准兼容方式产生一个SSL_CTX ,即SSL Content Text */
    //ctx = SSL_CTX_new(SSLv23_server_method());
    ctx = SSL_CTX_new(SSLv3_server_method());

    /* 也可以用SSLv2_server_method() 或SSLv3_server_method() 单独表示V2 或V3
     * 标准*/
    if (ctx == NULL) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 载入用户的数字证书, 此证书用来发送给客户端。证书里包含有公钥*/
    if (SSL_CTX_use_certificate_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 载入用户私钥*/
    if (SSL_CTX_use_PrivateKey_file(ctx, argv[5], SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 检查用户私钥是否正确*/
    if (!SSL_CTX_check_private_key(ctx)) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 开启一个socket 监听*/
    if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
        perror("socket");
        exit(1);
    } else
        printf("socket created\n");

    bzero(&my_addr, sizeof(my_addr));
    my_addr.sin_family = PF_INET;
    my_addr.sin_port = htons(myport);

    if (argv[3])
        my_addr.sin_addr.s_addr = inet_addr(argv[3]);
    else
        my_addr.sin_addr.s_addr = INADDR_ANY;

    if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))
            == -1) {
        perror("bind");
        exit(1);
    } else
        printf("binded\n");

    if (listen(sockfd, lisnum) == -1) {
        perror("listen");
        exit(1);
    } else
        printf("begin listen\n");

    while (1) {
        SSL *ssl;
        len = sizeof(struct sockaddr);

        /* 等待客户端连上来*/
        if ((new_fd =
                    accept(sockfd, (struct sockaddr *) &their_addr,
                           &len)) == -1) {
            perror("accept");
            exit(errno);
        } else
            printf("server: got connection from %s, port %d, socket %d\n",
                   inet_ntoa(their_addr.sin_addr),
                   ntohs(their_addr.sin_port), new_fd);

        /* 基于ctx 产生一个新的SSL */
        ssl = SSL_new(ctx);

        /* 将连接用户的socket 加入到SSL */
        SSL_set_fd(ssl, new_fd);

        /* 建立SSL 连接*/
        if (SSL_accept(ssl) == -1) {
            perror("accept");
            close(new_fd);
            break;
        }

        /* 开始处理每个新连接上的数据收发*/
        bzero(buf, MAXBUF + 1);
        strcpy(buf, "server->client");

        /* 发消息给客户端*/
        len = SSL_write(ssl, buf, strlen(buf));
        if (len <= 0) {
            printf
            ("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",
             buf, errno, strerror(errno));
            goto finish;
        } else
            printf("消息'%s'发送成功,共发送了%d 个字节!\n",
                   buf, len);
        bzero(buf, MAXBUF + 1);

        /* 接收客户端的消息*/
        len = SSL_read(ssl, buf, MAXBUF);
        if (len > 0)
            printf("接收消息成功:'%s',共%d 个字节的数据\n",
                   buf, len);
        else
            printf
            ("消息接收失败!错误代码是%d,错误信息是'%s'\n",
             errno, strerror(errno));
        /* 处理每个新连接上的数据收发结束*/

finish:
        /* 关闭SSL 连接*/
        SSL_shutdown(ssl);

        /* 释放SSL */
        SSL_free(ssl);

        /* 关闭socket */
        close(new_fd);
    }

    /* 关闭监听的socket */
    close(sockfd);

    /* 释放CTX */
    SSL_CTX_free(ctx);

    return 0;
}

==================================================================================

client.c 


/************关于本文档********************************************
 * *filename: ssl-client.c
 * *purpose: 演示利用OpenSSL 库进行基于IP 层的SSL 加密通讯的方法,这是客户端例子
 * Linux 爱好者Linux 知识传播者SOHO 族开发者最擅长C 语言
 * *date time:2013-11-22
 * *Note: 任何人可以任意复制代码并运用这些文档,当然包括你的商业用途
 * * 但请遵循GPL
 * *********************************************************************/

#include <stdio.h>
#include <string.h>
#include <errno.h>
#include <sys/socket.h>
#include <resolv.h>
#include <stdlib.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <openssl/ssl.h>
#include <openssl/err.h>

#define MAXBUF 1024

void ShowCerts(SSL * ssl)
{
    X509 *cert;
    char *line;
    cert = SSL_get_peer_certificate(ssl);
    if (cert != NULL) {
        printf("数字证书信息:\n");
        line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
        printf("证书: %s\n", line);
        free(line);
        line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
        printf("颁发者: %s\n", line);
        free(line);
        X509_free(cert);
    } else
        printf("无证书信息!\n");
}

int main(int argc, char **argv)
{
    int sockfd, len;
    struct sockaddr_in dest;
    char buffer[MAXBUF + 1];
    SSL_CTX *ctx;
    SSL *ssl;

        printf("Usage: %s server_ip server_port\n", argv[0]);

    if (argc != 3) {

        printf("参数格式错误!正确用法,比如: %s 127.0.0.1 80\n"
                 "此程序用来从某个IP 地址的服务器某个端口接收最多MAXBUF 个字节的消息\n",
         argv[0]);

        exit(0);
    }

    /* SSL 库初始化,参看ssl-server.c 代码*/
    SSL_library_init();
    OpenSSL_add_all_algorithms();
    SSL_load_error_strings();
    // ctx = SSL_CTX_new(SSLv23_client_method());
    ctx = SSL_CTX_new(SSLv3_client_method());
    if (ctx == NULL) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 创建一个socket 用于tcp 通信*/
    if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
        perror("Socket");
        exit(errno);
    }
    printf("socket created\n");

    /* 初始化服务器端(对方)的地址和端口信息*/
    bzero(&dest, sizeof(dest));
    dest.sin_family = AF_INET;
    dest.sin_port = htons(atoi(argv[2]));
    if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
        perror(argv[1]);
        exit(errno);
    }
    printf("address created\n");

    /* 连接服务器*/
    if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
        perror("Connect ");
        exit(errno);
    }
    printf("server connected\n");

    /* 基于ctx 产生一个新的SSL */
    ssl = SSL_new(ctx);
    SSL_set_fd(ssl, sockfd);

    /* 建立SSL 连接*/
    if (SSL_connect(ssl) == -1)
        ERR_print_errors_fp(stderr);
    else {
        printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
        ShowCerts(ssl);
    }
    /* 接收对方发过来的消息,最多接收MAXBUF 个字节*/
    bzero(buffer, MAXBUF + 1);

    /* 接收服务器来的消息*/
    len = SSL_read(ssl, buffer, MAXBUF);
    if (len > 0)
        printf("接收消息成功:'%s',共%d 个字节的数据\n",
               buffer, len);
    else {
        printf
        ("消息接收失败!错误代码是%d,错误信息是'%s'\n",
         errno, strerror(errno));
        goto finish;
    }
    bzero(buffer, MAXBUF + 1);
    strcpy(buffer, "from client->server");

    /* 发消息给服务器*/
    len = SSL_write(ssl, buffer, strlen(buffer));
    if (len < 0)
        printf
        ("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",
         buffer, errno, strerror(errno));
    else
        printf("消息'%s'发送成功,共发送了%d 个字节!\n",
               buffer, len);

finish:
    /* 关闭连接*/
    SSL_shutdown(ssl);
    SSL_free(ssl);
    close(sockfd);
    SSL_CTX_free(ctx);

    return 0;
}

===================================================================================

编译:
gcc client.c -o client -lssl
gcc server.c -o server -lssl

生成证书:
openssl genrsa -out privkey.pem 2048
openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095

例子运行:
./server 7838 1 127.0.0.1 cacert.pem privkey.pem
./client 127.0.0.1 7838
2019-08-25 22:25:43 royal1235 阅读数 55
  • Windows Server 2012 R2 服务器应用与架站(中级全套...

    全套视频共分为9种企业常见应用服务器构建与管理,每一章节从初级讲起,做到全方位技术提高,内容包括DHCP 服务器搭建与管理、DNS服务器搭建与管理、IIS服务器的搭建与管理、PKI与SSL网站搭建与管理、FTP服务器的搭建与管理、打印服务器的设置与管理、WSUS服务器部署与更新程序、故障转移群集服务器的搭建与管理、网络负载平衡群集(NLBC)服务器的搭建与管理。

    10586 人正在学习 去看看 深博

1.linux:这个大家自行选择,可以选择阿里云、腾讯云、华为云等等,我用的阿里云,十块钱一个月很便宜。

2.域名:进行域名购买、域名备案、域名解析

域名便宜的一年十几块钱,所以买一个玩玩还是可以的,我的名字叫安生,所以我买的域名是ansheng.online, 

购买步骤(阿里云为例子):

进入阿里云官网:

然后根据不同的条件进行筛选自己喜欢的便宜的域名玩玩:

购买过之后就是进行备案操作:备案操作阿里云官方会邮寄一张幕布纸,收到之后需要按照要求拍照,反正整个流程按照阿里云官方提示进行操作就可以了,域名审核整个时间可能几天到十几天

然后就是进行域名解析操作:解析操作按照步骤一步步进行就可以了,有不懂的一百度很多答案,这里不做过多赘述

 

3.ssl证书:

SSL证书我们自己玩的话就申请一个免费的就可以了,可以在阿里云官方申请使用,下面是我申请的免费的ssl证书,一年期限:

注意!注意!注意!申请证书的时候会让输入域名,这个时候我的域名是ansheng.online,第一次申请证书我输入的是https://ansheng.online,结果坑了我,应该填入ansheng.online

签发过程可能需要几分钟,几分钟审核通过后就可以下载使用,因为我用nginx代理tomcat,所以我选择下载nginx版本:

下载完之后如下图所示:一个key文件,一个pem文件,由于需要配置在nginx中,所以我们需要将这两个文件放到nginx下面(下面讲nginx会提到)

4.nginx

安装nginx过程可以参考我的另外一篇文章,专门讲的nginx安装,地址:

https://blog.csdn.net/royal1235/article/details/99645537

安装过之后我们把ssl证书放在下面文件夹中:

所以我们在nginx.conf配置文件中配置的时候要能够访问到ssl证书文件,配置文件配置如下:

注意:你配置完之后这个时候启动nginx的时候可能会报一个错:[emerg]: getpwnam(“nginx”) failed

这是因为没有安装nginx用户导致的无法启动,所以解决方案就是:

root@localhost nginx-1.11.2]# useradd -s /sbin/nologin -M nginx
[root@localhost nginx-1.11.2]# id nginx

这个时候再进行启动nginx会发现这个错就没了,但是紧接着 可能会报下一个错就是:
nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:16

其实提示的很明确就是缺少:ngx_http_ssl_module,因为我们需要配置SSL证书,解决方案如下:

1.首先,找到Nginx安装包的位置。我的位置是:/usr/local/nginx/nginx-1.13.7

cd   /usr/local/nginx/nginx-1.13.7

2.生成新的Nginx配置

/usr/local/nginx/sbin/nginx -V 

查看configure arguments:后边有没有值,有值的话就复制下来

然后接着执行 下面

./configure --原来有的模块(如果有的话) --with-http_ssl_module

如果此时报错-bash: ./configure: No such file or directory 然后看下面第三步

3.通过 find -name configure ,找到configure在哪文件夹下面,切换过去,然后再次执行

./configure --原来有的模块(如果有的话) --with-http_ssl_module

4.接着就执行

make

5.如果此时nginx是启动状态那就先停止

6.然后最后一步,把编译好的nginx替换原来的nginx

cp ./objs/nginx /usr/local/nginx/sbin/

系统可能会提示是否覆盖,我们输入y。

我在执行的时候,系统提示了Text file busy,也就是我执行失败。

通过查看其他人的博客可以这样解决:

ps -A

然后我们找到所有Nginx的进程杀掉

Kill  XXX

然后我们再次执行

cp ./objs/nginx /usr/local/nginx/sbin/

然后启动nginx成功

5.https配置:

https配置其实就是利用SSL安全证书,配置的话只要在nginx.conf中进行配置,我的配置如下:

6.tomcat

linux中安装tomcat和jdk也可以参考我的另一篇文章

https://blog.csdn.net/royal1235/article/details/99972007

在tomcat中放一个项目的war包然后启动tomcat,保证项目可以正常运行

然后浏览器输入域名网址访问就可以了,我的结果如下:

7.结束

该篇文章为第一个版本,可能有很多不足有待完善,欢迎大家提出疑问然后我对此进行补充。

2017-11-03 15:24:10 shile 阅读数 2769
  • Windows Server 2012 R2 服务器应用与架站(中级全套...

    全套视频共分为9种企业常见应用服务器构建与管理,每一章节从初级讲起,做到全方位技术提高,内容包括DHCP 服务器搭建与管理、DNS服务器搭建与管理、IIS服务器的搭建与管理、PKI与SSL网站搭建与管理、FTP服务器的搭建与管理、打印服务器的设置与管理、WSUS服务器部署与更新程序、故障转移群集服务器的搭建与管理、网络负载平衡群集(NLBC)服务器的搭建与管理。

    10586 人正在学习 去看看 深博

接上文,介绍在不采用SSL/TLS加密的情况下,配置邮件客户端。以Evolution为例子。

0 . 此教程为本机测试,故测试前需要在/etc/hosts里面添加:

[root@mail ~]#vi /etc/hosts
#添加邮件服务器域名的解析地址为本地环回
127.0.0.1   mail.opsky.top  opsky.top 

1 . 新建邮件用户。linux下新建立一个普通用户,就是邮件服务器的用户。

[root@mail ~]#useradd mailuser
[root@mail ~]#passwd mailuser

2 . 打开Evolution,点击”文件”->”新建”->”邮件帐号”。

IMAP设置如下。

IMAP配置

SMTP设置如下。

SMTP设置

3 . 设置完成后,给自己发送一封邮件测试,成功发送和接收。如下图。

客户端发信

mail命令读信,如下图。
mail命令读信

2017-11-06 13:58:05 benpaodelulu_guajian 阅读数 10208
  • Windows Server 2012 R2 服务器应用与架站(中级全套...

    全套视频共分为9种企业常见应用服务器构建与管理,每一章节从初级讲起,做到全方位技术提高,内容包括DHCP 服务器搭建与管理、DNS服务器搭建与管理、IIS服务器的搭建与管理、PKI与SSL网站搭建与管理、FTP服务器的搭建与管理、打印服务器的设置与管理、WSUS服务器部署与更新程序、故障转移群集服务器的搭建与管理、网络负载平衡群集(NLBC)服务器的搭建与管理。

    10586 人正在学习 去看看 深博

Nginx 证书部署

首先去购买证书,以腾讯云为例子,购买好了以后,下载了证书,解压获得3个文件夹,分别是Apache、IIS、Nginx 服务器的证书文件

1 获取证书

Nginx文件夹内获得SSL证书文件 1_www.xxx.com_bundle.crt 和私钥文件 2_www.xxx.com.key,

2 证书安装

将域名 www.xxx.com 的证书文件1_www.xxx.com_bundle.crt 、私钥文件2_www.xxx.com.key保存到服务器上同一个目录,例如/usr/local/nginx/conf目录下。

修改Nginx根目录下 conf/nginx.conf 文件如下:

server {
        listen 443;
        server_name www.xxx.com; #填写绑定证书的域名
        ssl on;
        ssl_certificate 1_www.xxx.com_bundle.crt;
        ssl_certificate_key 2_www.xxx.com.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置 这里不需要更改
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置 这里不需要更改
        ssl_prefer_server_ciphers on;
      
    }

需要修改的就是上述红字部分。

配置完成后,先用bin/nginx –t来测试下配置是否有误,正确无误的话,

重启nginx。 service nginx restart

然后使用  https://www.xxx.com 来访问。

当然,有可能浏览器的https旁边的绿色小锁带有黄色感叹号,那是因为当前网站还是有http的链接,最多的应该是图片,图片的链接,就需要自己根据框架或者是直接改动数据库来操作了。



注:

配置文件参数 说明
listen 443 SSL访问端口号为443
ssl on 启用SSL功能
ssl_certificate 证书文件
ssl_certificate_key 私钥文件
ssl_protocols 使用的协议
ssl_ciphers 配置加密套件,写法遵循openssl标准

3 使用全站加密,http自动跳转https(可选)

对于用户不知道网站可以进行https访问的情况下,让服务器自动把http的请求重定向到https。
在服务器这边的话配置的话,可以在页面里加js脚本,也可以在后端程序里写重定向,当然也可以在web服务器来实现跳转。

Nginx是支持rewrite的(只要在编译的时候没有去掉pcre)

在http的server里增加rewrite ^(.*) https://$host$1 permanent;

server {
    listen       80;
    server_name  xxx.com www.xxx.com;
    rewrite ^(.*) https://$host$1 permanent;
}

要新加一个server 不要写在listen 443里面,写在里面就一直是https重定向到https,进入死循环。

这样如果是http,就会跳转到https, 比如访问xxx.com或者www.xxx.com 都会重定向到https://www.xxx.com


有帮助的话点个赞,谢谢



没有更多推荐了,返回首页