在当前互联网环境下,虚拟主机已成为网站托管的更流行方式,因为它使得多个网站可以共享同一个服务器。虚拟主机的安全性是网站运维人员经常需要考虑的问题,因为许多恶意攻击都会针对虚拟主机的漏洞。针对这些安全风险,虚拟主机管理员们必须寻找并采用越来越多的安全措施来维护网站的安全性。其中一项重要的安全措施就是启用openssl加密功能。
下面将通过以下步骤来解释如何在虚拟主机中启用openssl加密功能。
步骤1:安装Apache服务器
我们需要使用安装apache服务器,目前在linux系统中更流行的版本是Apache2.4.在安装过程中,需要考虑到操作系统和版本的兼容性问题。在安装成功后,需要注意apache服务器的版本号和安装路径。
步骤2:生成SSL证书
SSL证书是启用openssl加密功能的关键,我们需要按照以下步骤生成证书:
1. 在终端上打开openssl,键入以下指令:
openssl genpkey -algorithm RSA -aes256 -out new.key
2. 按下提示输入秘密密码进行生成。
3. 生成CSR,指令如下:
openssl req -new -key new.key -out new.csr
在这个过程中,填写CSR的基本信息,如国家,省份等,同时需要指定cert file path。
4. 生成证书:
openssl x509 -req -days 365 -in new.csr -signkey new.key -out new.crt
这个过程中,需要输入刚刚生成key的秘密密码,并指定证书有效期(365天)。
步骤3:配置Apache
成功安装和生成ssl证书后,需要启用apache的SSL模块,并加载证书和密钥文件。
添加以下行以启用ssl模块。
LoadModule ssl_module modules/mod_ssl.so
在apache配置文件中关键的一步是指定SSL证书和Key文件的路径,可以使用以下指令:
SSLCertificateFile /path/to/your_domn.crt
SSLCertificateKeyFile /path/to/your_private.key
完整的配置文件示例:
DocumentRoot /var/www/html/
ServerName domn.com
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:!aNULL:!MD5:+HIGH:+MEDIUM
SSLCertificateFile /path/to/your_domn.crt
SSLCertificateKeyFile /path/to/your_private.key
步骤4: 重启Apache服务器
最后一步是在apache的命令行中执行以下指令以使配置生效:
service httpd restart
在重新启动服务器后,您的站点即可启用openssl加密功能。
通过以上步骤,我们成功的启用了虚拟主机的openssl加密功能。这使得我们的网站得以完整的向访问者展示信息,而不必担心数据泄露和安全问题。值得一提的是,虚拟主机管理员们还应该注意最新的安全威胁和配置与更新其系统的SSL/TLS协议以保持与其环境协调。
相关问题拓展阅读:
- Nginx,一看就会
Nginx,一看就会
Nginx(“engine x”) 是一个高性能的 HTTP 和反向代理服务器,特点是占有内存少,并发能力强,事实上 nginx 的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用 nginx 网站用户有:雀改百度、京东、新浪、网易、腾讯、 淘宝等。
1.1 WEB 服务器
Nginx 可以作为静态页面的 web 服务器,同时还支持 CGI 协议的动态语言,比如 perl、php
等。但是不支持 java。Java 程序只能通过与 tomcat 配合完成。Nginx 专为性能优化而开发,性能是其最重要的考量,实现上非常注重效率 ,能经受高负载的考验,有报告表明能支持高达 50000个并发连接数。
1.2 反向代理
1.正向代理,代理客户端,客户端需要配置代理
2.反向代理,代理服务端,客户端无感知
1.3 负载均衡
Nginx 的异步框架可以处理很大的并发请求,把这些并发请求 hold 住之后就可以分发给后台服务端(backend servers,也叫做服务池, 后面简称 backend)来做复杂的计算、处理和响应,这种模式的好处是相当多的:隐藏业务主机更安全,节约了公网 IP 地址,并且在业务量增加的时候可以方顷碧判便地扩容后台服务器。
这时候集群的概念产生了,我们增加服务器的数量,然后将请求分发到各个服务器上,将原先请求集中到单个服务器上的情况改为将请求分发到多个服务器上,将负载分发到不同的服器,也就是我们所说的负载均衡。
1.4 动静分离
为了加快网站的解析速度,可以把动态页面和静态页面由不同的服务器来解析,加快解析速度。降低原来单个服务器的压力。
Nginx官网
2.1 相关安装包
pcre-8.37.tar.gz openssl-1.0.1t.tar.gz zlib-1.2.8.tar.gz nginx-1.11.1.tar.gz
2.2 安装流程
2.1.1.安装 pcre 解压缩 pcre-xx.tar.gz 包
进入解压缩目录,执行./configure
如果提示,需要提前安装 gcc++,进入安装光盘目录的软件包(/media/CentOSXX/Package)执行
rpm -ivh libstdc+ devel-4.4.7-17.el6.x86_64.rpm
rpm -ivh gcc-c+ 4.4.7-17.el6.x86_64.rpm
./configure 完成后,回到 pcre 目录下执行 make,再执行 make install
2.2.2.安装 openssl
解压缩 openssl-xx.tar.gz 包。
进入解压缩目录,执行./config
make && make install
2.2.3.安装 zlib 解压缩 zlib-xx.tar.gz 包。
进入解压缩目录,执行./configure。
make && make install
2.2.4.安装 nginx
解压缩 nginx-xx.tar.gz 包。
进入解压缩目录,执行./configure。
make && make install
查看开放的端口号
firewall-cmd –list-all
设置开放的端口号
firewall-cmd –add-service=http –permanent
sudo firewall-cmd –add-port=80/tcp –permanent
重启防火墙
firewall-cmd –reload
2.3 Nginx 启动
命令
启动命令:在/usr/local/nginx/in 目录下执行 ./nginx
关闭命令: 在/usr/local/nginx/in 目录下执行 ./nginx -s stop
重新加载命令: 在/usr/local/nginx/in 目录下执行 ./nginx -s reload·
设置 nginx 为自启动服务
修改慧差 linux 启动脚本/etc/rc.d/rc
加入 :/usr/local/nginx/in/nginx
nginx 安装目录下,其默认的配置文件都放在conf 目录下,而主配置文件nginx.conf 也在其中,后续对 nginx 的使用基本上都是对此配置文件进行相应的修改。
根据上述文件,我们可以很明显的将 nginx.conf 配置文件分为三部分
之一部分:全局块
从配置文件开始到 events 块之间的内容,主要会设置一些影响 nginx 服务器整体运行的配置指令,主要包括配置运行 Nginx 服务器的用户(组)、允许生成的 worker process 数,进程 PID 存放路径、日志存放路径和类型以及配置文件的引入等。
比如上面之一行配置的:worker_processes 1;
这是 Nginx 服务器并发处理服务的关键配置,worker_processes 值越大,可以支持的并发处理量也越多,但是会受到硬件、软件等设备的制约。
第二部分:events 块
events 块涉及的指令主要影响 Nginx 服务器与用户的网络连接,常用的设置包括是否开启对多 work process 下的网络连接进行序列化,是否允许同时接收多个网络连接,选取哪种事件驱动模型来处理连接请求,每个 word process 可以同时支持的更大连接数等。
上述例子就表示每个 work process 支持的更大连接数为 1024.
这部分的配置对 Nginx 的性能影响较大,在实际中应该灵活配置。
第三部分:http 块
这算是 Nginx 服务器配置中最频繁的部分,代理、缓存和日志定义等绝大多数功能和第三方模块的配置都在这里。
需要注意的是:http 块也可以包括 http 全局块、server 块。
http 全局块
http 全局块配置的指令包括文件引入、MIME-TYPE 定义、日志自定义、连接超时时间、单链接请求数上限等。
server 块
这块和虚拟主机有密切关系,虚拟主机从用户角度看,和一立的硬件主机是完全一样的,该技术的产生是为了节省互联网服务器硬件成本。
每个 http 块可以包括多个 server 块,而每个 server 块就相当于一个虚拟主机。
而每个 server 块也分为全局 server 块,以及可以同时包含多个 locaton 块。
全局 server 块
最常见的配置是本虚拟机主机的监听配置和本虚拟主机的名称或 IP 配置。
location 块
一个 server 块可以配置多个 location 块。
这块的主要作用是基于 Nginx 服务器接收到的请求字符串(例如 server_name/uri-string),对虚拟主机名称(也可以是 IP 别名)之外的字符串(例如 前面的 /uri-string)进行匹配,对特定的请求进行处理。地址定向、数据缓存和应答控制等功能,还有许多第三方模块的配置也在这里进行。
案例配置如下:
location 指令说明
该指令用于匹配 URL,语法如下:
= :用于不含正则表达式的 uri 前,要求请求字符串与 uri 严格匹配,如果匹配
成功,就停止继续向下搜索并立即处理该请求。
~:用于表示 uri 包含正则表达式,并且区分大小写。
~*:用于表示 uri 包含正则表达式,并且不区分大小写。
^~:用于不含正则表达式的 uri 前,要求 Nginx 服务器找到标识 uri 和请求字
符串匹配度更高的 location 后,立即使用此 location 处理请求,而不再使用 location
块中的正则 uri 和请求字符串做匹配。
注意:如果 uri 包含正则表达式,则必须要有 ~ 或者 ~* 标识。
案例配置如下:
在 linux 下有 Nginx、LVS、Haproxy 等等服务可以提供负载均衡服务,而且 Nginx 提供了几种分配方式(策略):
轮询(默认)
每个请求按时间顺序逐一分配到不同的后端服务器,如果后端服务器 down 掉,能自动剔除。
weight
weight 代表权重,默认为 1,权重越高被分配的客户端越多指定轮询几率,weight 和访问比率成正比,用于后端服务器性能不均的情况。
ip_hash
每个请求按访问 ip 的 hash 结果分配,这样每个访客固定访问一个后端服务器,可以解决 session 的问题。
fair(第三方)
按后端服务器的响应时间来分配请求,响应时间短的优先分配。
动静分离从目前实现角度来讲大致分为两种:
1.一种是纯粹把静态文件独立成单独的域名,放在独立的服务器上,也是目前主流推崇的方案;
2.另外一种方法就是动态跟静态文件混合在一起发布,通过 nginx 来分开。
通过 location 指定不同的后缀名实现不同的请求转发。通过 expires 参数设置,可以使浏览器缓存过期时间,减少与服务器之前的请求和流量。具体 Expires 定义:是给一个资源设定一个过期时间,也就是说无需去服务端验证,直接通过浏览器自身确认是否过期即可,所以不会产生额外的流量。此种方法非常适合不经常变动的资源。(如果经常更新的文件,不建议使用 Expires 来缓存),我这里设置 3d,表示在这 3 天之内访问这个 URL,发送一个请求,比对服务器该文件最后更新时间没有变化,则不会从服务器抓取,返回状态码304,如果有修改,则直接从服务器重新下载,返回状态码 200。
master-workers 的机制的好处
首先,对于每个 worker 进程来说,独立的进程,不需要加锁,所以省掉了锁带来的开销,
同时在编程以及问题查找时,也会方便很多。其次,采用独立的进程,可以让互相之间不会
影响,一个进程退出后,其它进程还在工作,服务不会中断,master 进程则很快启动新的
worker 进程。当然,worker 进程的异常退出,肯定是程序有 bug 了,异常退出,会导致当
前 worker 上的所有请求失败,不过不会影响到所有请求,所以降低了风险。
需要设置多少个 worker
Nginx 同 redis 类似都采用了 io 多路复用机制,每个 worker 都是一个独立的进程,但每个进
程里只有一个主线程,通过异步非阻塞的方式来处理请求, 即使是千上万个请求也不在话
下。每个 worker 的线程可以把一个 cpu 的性能发挥到极致。所以 worker 数和服务器的 cpu
数相等是最为适宜的。设少了会浪费 cpu,设多了会造成 cpu 频繁切换上下文带来的损耗。
连接数 worker_connection
这个值是表示每个 worker 进程所能建立连接的更大值,所以,一个 nginx 能建立的更大连接数,应该是 worker_connections * worker_processes。当然,这里说的是更大连接数,对于HTTP 请 求 本 地 资 源 来 说 , 能 够 支 持 的 最 大 并 发 数 量 是 worker_connections * worker_processes,如果是支持 http1.1 的浏览器每次访问要占两个连接,所以普通的静态访问更大并发数是: worker_connections * worker_processes /2,而如果是 HTTP 作 为反向代理来说,更大并发数量应该是 worker_connections *
worker_processes/4。因为作为反向代理服务器,每个并发会建立与客户端的连接和与后端服务的连接,会占用两个连接。
注意:此部分属于高级技术,近几日会将下面的知识点补充完毕。
8.1 Keepalived+Nginx 高可用集群(主从模式)
8.2 Keepalived+Nginx 高可用集群(双主模式)
虚拟主机怎么开启openssl的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于虚拟主机怎么开启openssl,如何启用虚拟主机的openssl加密功能,Nginx,一看就会的信息别忘了在本站进行查找喔。