前沿拓展:
写在前面分享一些 Nginx 用户认证、SSL 加密配置的笔记博文内容涉及 Nginx 用户认证、SSL 加密配置 Demo通过 OpenSSL 生成使用 SSL 证书、私钥和 CSR Demo理解不足小伙伴帮忙指正
用户认证
安装 nginx ,配置 nginx 的用户认证
┌──[root@vms152.liruilongs.github.io]-[~]
└─$rpm -ql nginx || yum -y install nginx
安装版本
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$nginx -v
nginx version: nginx/1.20.1
备份修改配置文件
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$vim /etc/nginx/nginx.conf
认证需要 在配置文件 server 模块下面添加对应的配置,auth_basic 为提示信息,auth_basic_user_file 为账密文件位置
server {
………..
auth_basic "auth-liruilong";
auth_basic_user_file /etc/nginx/pass;
安装压测工具,http-tools 可以创建访问网站的用户名和密码
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$yum -y install httpd-tools
……
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$htpasswd -c /etc/nginx/pass liruilong
New password:
Re-type new password:
Adding password for user liruilong
启动服务,确认服务启动
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$systemctl start nginx
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$systemctl is-active nginx
active
访问测试
SSL 虚拟主机配置
修改配置文件,需要把注释的部分放开,第二在配置文件的指定的位置创建 SSL 相关密钥,证书
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$cat /etc/nginx/nginx.conf
# For more information on configuration, see:
# * Official English Documentation: http://nginx.org/en/docs/
# * Official Russian Documentation: http://nginx.org/ru/docs/
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;
events {
worker_connections 1024;
}
http {
log_format main '$remote_addr – $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 4096;
include /etc/nginx/mime.types;
default_type application/octet-stream;
# Load modular configuration files from the /etc/nginx/conf.d directory.
# See http://nginx.org/en/docs/ngx_core_module.html#include
# for more information.
include /etc/nginx/conf.d/*.conf;
# Settings for a TLS enabled server.
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
}
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$
创建 ssl 认证相关
┌──[root@vms.154.liruilongs.github.io]-[/etc/nginx/conf.d]
└─$mkdir -p /etc/pki/nginx/
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$mkdir private
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$cd private
生成 RSA 和 ECDSA 密钥
生成生成 RSA 密钥,服务器私钥用于对报文进行解密
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx/private]
└─$openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
……+++
…………….+++
e is 65537 (0x10001)
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx/private]
└─$cd ..
其他可选项
生成 RSA 密钥:
openssl genrsa -out example.key [bits]
打印 RSA 密钥的文本表示:
openssl rsa -in example.key -text -noout
生成新的 RSA 密钥并使用基于 AES CBC 256 加密的密码短语进行加密:
openssl genrsa -aes256 -out example.key [bits]
检查您的私钥。如果密钥有密码短语,系统会提示您输入密码:
openssl rsa -check -in example.key
从密钥中删除密码:
openssl rsa -in example.key -out example.key
使用密码短语加密现有私钥:
openssl rsa -des3 -in example.key -out example_with_pass.key
生成 ECDSA 密钥。curve 将替换为:prime256v1、secp384r1、secp521r1 或任何其他支持的
openssl ecparam -genkey -name [curve] | openssl ec -out example.ec.key
创建证书签名请求(CRS)
从现有私钥创建 CSR
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$ls
private
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$openssl req -new -key ./private/server.key -out server.csr -subj "/CN=192.168.26.1"
可选项
在单个命令中创建没有密码短语的 CSR 和私钥:
openssl req -nodes -newkey rsa:[bits] -keyout example.key -out example.csr
在命令行上提供 CSR 主题信息,而不是通过交互式提示。
openssl req -nodes -newkey rsa:[bits] -keyout example.key -out example.csr -subj "/C=UA/ST=Kharkov/L=Kharkov/O=Super Secure Company/OU=IT Department/CN=example.com"
从现有证书和私钥创建 CSR:
openssl x509 -x509toreq -in cert.pem -out example.csr -signkey example.key
通过提供 openssl 配置文件为多域 SAN 证书生成 CSR:
openssl req -new -key example.key -out example.csr -config req.conf
配置文件 req.conf:
[req]
prompt=no
default_md = sha256
distinguished_name = dn
req_extensions = req_ext
[dn]
CN=example.com
[req_ext]
subjectAltName= @alt_names
[alt_names]
DNS.1=example.com
DNS.2=www.example.com
DNS.3=ftp.example.com
创建 X.509 证书
生成证书,使用现有的 CSR 和私钥创建自签名证书:
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$openssl x509 -req -days 3650 -in server.csr -signkey ./private/server.key -out server.crt
Signature ok
subject=/CN=192.168.26.1
Getting Private key
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$ls
private server.crt server.csr
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$
可选项
这里也可以从头开始创建自签名证书和新私钥:
openssl req -nodes -newkey rsa:2048 -keyout example.key -out example.crt -x509 -days 365
使用您自己的“CA”证书及其私钥签署子证书。如果您是一家 CA 公司,这将显示一个关于如何颁发新证书的非常简单的示例。
openssl x509 -req -in child.csr -days 365 -CA ca.crt -CAkey ca.key -set_serial 01 -out child.crt
打印证书的文本表示
openssl x509 -in server.crt -text -noout
将证书的指纹打印为 md5、sha1、sha256 摘要:
openssl x509 -in cert.pem -fingerprint -sha256 -noout
验证 CSR 或证书
验证 CSR 签名:
openssl req -in example.csr -verify
验证私钥是否与证书和 CSR 匹配:
openssl rsa -noout -modulus -in example.key | openssl sha256
openssl x509 -noout -modulus -in example.crt | openssl sha256
openssl req -noout -modulus -in example.csr | openssl sha256
验证证书,前提是您在计算机上将根证书和任何中间证书配置为受信任:
openssl verify example.crt
当您有中间证书链时,验证证书。根证书不是捆绑包的一部分,应该在您的机器上配置为受信任的。
openssl verify -untrusted intermediate-ca-chain.pem example.crt
验证证书,当您有中间证书链和根证书时,未配置为受信任的证书。
openssl verify -CAFile root.crt -untrusted intermediate-ca-chain.pem child.crt
验证远程服务器提供的证书是否涵盖给定的主机名。有助于检查您的多域证书是否正确涵盖了所有主机名。
openssl s_client -verify_hostname www.example.com -connect example.com:443
启动 nginx 服务测试┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$systemctl start nginx
访问测试,自签名的证书
博文参考
https://dynacont.net/documentation/linux/openssl/
https://medium.com/free-code-camp/openssl-command-cheatsheet-b441be1e8c4a
https://www.sslshopper.com/article-most-common-openssl-commands.html
https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and-csrs
https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/certificates/
拓展知识:
remoteadministr
问题一:怎样接收对方的远程 利用QQ远程协助可以实现远程控制!如果你要控制他!那么由他发远程控制给你!你接受就可以了,不会有任何**入侵,请放心!
一、“远程协助”在哪儿
要与QQ好友使用远程协助,那么第一打开与好友聊天的对话框,图中鼠标指着的那个就是“窗口布局设置”,单击一下,你就能找到“远程协助”选项了。
二、“远程协助”的申请
QQ的“远程协助”功能设计似乎是比较小心的,要与好友使用“远程协助”功能,必须由需要帮助的一方点击“远程协助”选项进行申请。提交申请之后,就会在对方的聊天窗口出现提示。
接下来接受请求方当然要点击“接受”了。一方申请,一方接受,本以为可以了吧。还不行,这时又会在申请的一方的对话框出现一个对方已同意你的远程协助请求,“接受”或“谢绝”的提示,只有申请方点击“接受”之后,远程协助申请才正式完成。
成功建立连接后,在非申请方就会出现对方的桌面了,并且是实时刷新的。右边的窗口就是申请方的桌面了,这时他的每一步动作都尽收眼底,要叫他做什么就随便你了。不过现在你还不能直接控制他的电脑,只能看。
要想控制对方电脑还得由申请方点击“申请控制”,在双方又再次点击接受之后,才能开始控制对方的电脑。呵呵,赶快去看看对方的电脑里有什么好东东吧!
不过我要提醒你,QQ程序并没有在远程协助控制的时候锁住申请方的鼠标和键盘,所以双方要商量好哦,以免鼠标打架!经过与多个人的测试,QQ的远程协助能够不管双方的网络连接方式,也不用考虑防火墙因素等,只要大家都能用QQ就行,当然还是考虑到双方网速才行,不要跟我说你还是用56K的小猫上网哦。
三、“远程协助”的一些设置
1、在接受申请端可以点击“窗口浮动”,这样就会把对方的桌面弄成一个单独的窗口。浮动窗口可以最大化,这样你能尽可能的看到对方的全部桌面,看不完也没关系,你可以拖动滚动条进行观看。
2、是不是觉得显示效果不好?因为考虑到网速的关系,所以QQ的默认效果是比较差的,如果你们的网速都够快,那可以由申请方点击如“设置”,就会出现“图像显示质量”和“颜色质量”的设置窗口了,自己根据带宽能力来设置吧。
3、打字太累了吧,那就直接动嘴说吧。无论哪方点击“视频聊天”或者“音频聊天”,都能直接用耳麦进行语音聊天哦,现在开始你的手把手,嘴对嘴的密技传授吧!
问题二:怎么远程连接到别人的电脑?不会的别来了 设置远程桌面连接
在Windows XP 中新增了远程桌面连接功能,使用远程桌面连接,用户可以将其他位置的计算机连接到本地计算机的桌面,执行本地计算机中的程序或使用本地计算机连接到其他位置的计算机桌面,执行其他计算机上的程序,非常的方便实用。
12.7.1 设置远程桌面连接
设置远程桌面连接,用户先要与Internet 建立连接或在局域网中设置终端服务器。
在进行远程桌面连接之前,用户需要先对远程桌面连接进行一些设置,具体**作如下:
(1)单击“开始”按钮,选择“所有程序”“附件”“通讯”“远程桌面连接”命令。
(2)打开“远程桌面连接”对话框,
3)单击“选项”按钮,展开全部对话框。
(4)选择“常规”选项卡
5)在“登录设置”选项组的“计算机”文本框中输入要进行远程桌面连接的计算机的名称;在“用户名”文本框中输入登录使用的用户名;在“密码”文本框中输入用户的登录密码;在“域”文本框中输入要登录的域名称;若用户要保存密码,可选中“保存密码”复选框。
(6)在“连接设置”选项组中单击“另存为”按钮,可将当前的设置信息保存下来,保存过后,用户可直接单击“打开”按钮,打开以保存的设置。
(7)单击“连接”按钮,即可进行远程桌面连接。
(8)这时将弹出“登录到”对话框
9)在该对话框的“用户名”文本框中输入登录用户的名称;在“密码”文本框中输入登录密码;在“登录到”下拉列表中选择登录的域。
(10)单击“确定”按钮,即可登录到该计算机桌面
(11)在登录成功后,用户就可以使用该远程桌面中的程序进行各项**作了。
注意
作者所选登录的远程桌面使用的是Windows 2000 server 版**作系统,用户所登录的远程桌面可能会因为对方使用**作系统的不同而有所不同。
用户使用该远程桌面中的程序,并不影响该计算机的正常**作。
设置远程桌面连接的显示方式
在默认状态下,远程桌面连接以全屏方式显示,用户可以自行更改其显示大小,让其以800*600 像素显示或以640*480 像素显示,也可以更改远程桌面的颜色显示方式,其**作如下:
(1)单击“开始”按钮,选择“所有程序”“附件”“通讯”“远程桌面连接”命令,打开“远程桌面连接”对话框。
(2)单击“选项”按钮,展开该对话框。
(3)选择“显示”选项卡
(4)在“远程桌面大小”选项组中拖动滑块,即可改变远程桌面的大小。将滑块拖到最右边,可以全屏显示;将滑块拖到中间,可以800*600 像素显示;将滑块拖到最左边,可以640*480 像素显示。
(5)在“颜色”选项组中,单击“颜色”下拉列表可选择远程桌面的颜色显示方式,例如用户可选择256 色,增强色(16 位)或真色彩(24 位)等色彩显示方式,在下面的“预览”框中可看到所选颜色方式的预览效果。
(6)若选中“全屏显示时显示连接栏”复选框,则在全屏显示时会显示连接栏。
设置远程桌面连接的本地资源
在进行远程桌面连接的设置中,用户可选择是否将远程计算机的声音、键盘方式带到本地计算机上,及选择在登录到远程桌面时需要连接的本地设备。
设置远程桌面连接的本地资源可按以下**作进行:
(1)单击“开始”按钮,选择“所有程序”“附件”“通讯”“远程桌面连接”命令,打开“远程桌面连接”对话框。
(2)单击“选项”按钮,展开全部对话框。
(3)选择“本地资源”选项卡
(4)在该选项卡中“远程计算机声音”选项组中用户可选择将远程计算机……>>
问题三:yy怎么给别人发远程 暂时没有此功能,谢谢
问题四:如何 qq远程给别人上课? 不是,在远程协助的时候,需要对方点击了“允许控制”,你才能控制别人的电脑。这样是为了保护对方电脑的安全,相应的,对方可以随时按ESC键取消你对他电脑的控制。
所以,建立远程协助之后,只要对方点击了“允许控制”,就行了。
问题五:怎么让别人远程控制 设置你的电脑允许远程连接
在路由器里面将3389端口映射到你机器的IP地址
知道你当前的公网IP
通知对方,你的IP是多少 就可以远程连接了
问题六:win7远程桌面怎么远程别人的电脑 第一要设置好被远程电脑的用户名密码,打开“控制面板”。
点击“用户账户和家庭安全”。
点击“更改密码”。
点击“为账户创建密码”。
输入密码,点击“创建密码”就可以了。
接着打开计算机属性,选择“远程设置”。
把“允许远程协助连接这台计算机”打钩,下面的“允许运行任意版本远程桌面的计算机连接(较不安全)”选中,其他的不用管它。至此,被远程的计算机已经设置好了。
问题七:怎么用远程桌面连接控制别人的电脑? 远程桌面连接被控制电脑的设置1.我的电脑–属性–选上允许用户远程连接到计算机
2.关闭防火墙
3.右键我的电脑–管理–服务和应用程序–服务–Terminal Services–属性–设为自动并启动
将Remote Access Connection Manager 设为手动并启动
再将Remote Procedure Call(RPC)设为自动并启动
问题八:怎么远程连接别人电脑? 下载个“花生壳”软件,别人就可以远程访问你的电脑了。你可以叫你的朋友装个“花生壳”软件,你就可以访问他的电脑。打开开始菜单,选择 程序/附件/通讯/远程桌面连接,输入需要连接的计算机的IP地址,用户名,密码,第二点 连接,就可以了。必须保证远程计算机允许远程桌面,右击 我的电脑 图标,选择 属性/远程,在 允许用户远程连接到此计算机 前面打勾!
问题九:怎么远程登陆别人的电脑 一、QQ远程协助:
QQ远程控制怎么**作,双方都成功登陆qq,选择的qq好友,点击一下“远程协助”按钮,这时候在电脑桌面qq会话框右边有提示“您邀请了某某某使用远程协助。请等待回应……”对方选择“同意”之后,即可立刻进行远程控制,的电脑qq远程控制窗口默认勾选的是“允许对方控制计算机”可随时结束。
二、远程桌面连接:
要在远程机上设置,在系统属性-远程里边,开启远程功能,可以在这里添加账号,默认administrtor始终打开。在另一台电脑上点开始-运行mstsc就能打开远程桌面登陆终端,输入远程电脑的ip地址,用户名和密码就可以登陆到远程主机上,就可以像本地登陆一样完全控制远程主机了。
三、网络人远程控制软件:
网络人无是使目前国内使用的最多的远程控制软件,据数据调查分析,网络人远程控制软件月下载量达到10万用户。并且是国内首个获得国家**部安全检测认证以及软件销售许可中双重检测认证的正规远程控制软件,安全性能远高于同行业标准。
网络人远程控制软件分为个人版、企业版、旗舰版,以旗舰版为例说明一下使用网络人远程控制如何远程登录电脑:第一,双方都需要安装网络人软件(作为控制端的电脑安装旗舰版控制端,被控的电脑安装旗舰版被控端,这两个程序都在旗舰版的压缩包里),第二注册一个账号,控制端使用账号和密码登陆,被控端电脑使用跟控制端相同的账号登陆,这个时候在控制端的电脑上“在线主机”栏位可以看到被控端电脑并且对被控端电脑进行远程控制**作。
原创文章,作者:九贤生活小编,如若转载,请注明出处:http://www.wangguangwei.com/46719.html