Chinadu's Blog » SSL

Nginx https 免费SSL证书配置指南

Chinadu — Sat, 04 Jun 2011 03:59:45 +0000

请参考 Nginx Wiki http://wiki.nginx.org/NginxHttpSslModule

生成证书

$ cd /usr/local/nginx/conf
$ openssl genrsa -des3 -out server.key 1024
$ openssl req -new -key server.key -out server.csr
$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

编辑 nginx.conf

server {
server_name YOUR_DOMAINNAME_HERE;
listen 443;
ssl on;
ssl_certificate /usr/local/nginx/conf/server.crt;
ssl_certificate_key /usr/local/nginx/conf/server.key;
}

OK, 完成了。但这样证书是不被信任的，自己玩玩还行，要被信任请看下面。

以下内容转载自
http://goo.gl/YOb5
http://goo.gl/Gftj

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容请看SSL。

它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

1、自行颁发不受浏览器信任的SSL证书：
HTTPS的SSL证书可以自行颁发，Linux下的颁发步骤如下：

openssl genrsa -des3 -out api.bz.key 1024
openssl req -new -key api.bz.key -out api.bz.csr
openssl rsa -in api.bz.key -out api.bz_nopass.key

nginx.conf 的SSL证书配置，使用 api.bz_nopass.key，在启动Nginx是无需输入SSL证书密码，而使用 api.bz.key 则需要输入密码：

server {
server_name sms.api.bz;
listen 443;
index index.html index.htm index.php;
root /data0/htdocs/api.bz;
ssl on;
ssl_certificate api.bz.crt;
ssl_certificate_key api.bz_nopass.key;
......
}

自行颁发的SSL证书虽然能够实现加密传输功能，但得不到浏览器的信任，会出现以下提示：

2、受浏览器信任的StartSSL免费SSL证书：
跟VeriSign一样，StartSSL（网址：http://www.startssl.com，公司名：StartCom）也是一家CA机构，它的根证书很久之前就被一些具有开源背景的浏览器支持（Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等）。

在今年9月份，StartSSL竟然搞定了微软：微软在升级补丁中，更新了通过Windows根证书认证程序（Windows Root Certificate Program）的厂商清单，并首次将StartCom公司列入了该认证清单，这是微软首次将提供免费数字验证技术的厂商加入根证书认证列表中。现在，在 Windows 7或安装了升级补丁的Windows Vista或Windows XP操作系统中，系统会完全信任由StartCom这类免费数字认证机构认证的数字证书，从而使StartSSL也得到了IE浏览器的支持。

注册成为StartSSL（http://www.startssl.com）用户，并通过邮件验证后，就可以申请免费的可信任的SSL证书了。步骤比较复杂，就不详细介绍了，申请向导的主要步骤如下：

startssl在9月微软补丁更新中被支持，使得startssl证书得到承认。

申请流程如下 startssl.com

我的环境是windows 7

请不要使用chrome和IE8，否则将无法生成KEY而无法申请成功。建议使用firefox。

此外我还遇上了点意外，我使用的移动的网络被误判为澳大利亚的IP并收到邮件要求解释。

我将APNIC的查询地址和查询结果发送给对方后帐户才申请成功。

control panel / sign-up 注意填写正确资料。收到邮件后复制验证码。然后可以生成一个证书，注意，startssl.com不是以用户名、密码来验证用户的，是用证书来验证用户的。

所以生成证书后(火狐会导入证书)，注意备份证书。丢失证书后只能重新注册。

登录后还要验证域名才能为该域名生成SSL证书，可以选择在whois里的邮箱、hostmaster@domain、 postmaster@domain或者webmaster@domain

然后就可以在Certificates wizard里就可以申请SSL证书了。

有效期一年。

======2009/11/26 update===========

Toolbox

把你申请时的private key拿去Decrypt private key，然后把生成的key保存起来。

然后在Retieve certificate里选择你申请的域名，就可以得到cer文件，保存起来，放到nginx的conf目录。

在nginx里这样配置

server {
server_name security.meettea.com;
listen 443;
index index.html index.htm index.php;
root /data0/htdocs/security.meettea.com;
ssl on;
ssl_certificate security.cer;
ssl_certificate_key security.key;
}

nginx -s reload下如果没有任何提示，就说明配置成功了。

可惜firefox3.5测试，不信任class 1的证书。

==============2009/11/26 update===================

在startssl forum看到官方人员说firefox3.5不支持是因为没有配置好。经过配置解决了firefox 3.5不信任该证书的问题，ubuntu studio下测试通过。

步骤是:获取https://www.startssl.com/certs/ca.pem

获取https://www.startssl.com/certs/sub.class1.server.ca.pem

cat ca.pem sub.class1.server.ca.pem >> ca-certs.crt

cat ca-certs.crt >> security.cer

这是因为需要把startssl的根证书和sub class1的证书附上，因为是他们把证书颁发给你，firefox需要这张证书才认识你的证书。 :)

此外opera测试没通过，这点，连startssl.com自己都没有被opera通过。

2010年08月3日 -- 黑帽大会：HTTPS和SSL存在安全漏洞
2011年06月4日 -- 也谈Nginx的CGI PATH INFO问题
2011年06月3日 -- nginx下wp super cache 设置
2010年05月31日 -- Nginx 0.8.35 Space Character Remote Source Disclosure
2010年05月21日 -- 橙色预警：PHP PATH_INFO 存在漏洞
2010年04月30日 -- nginx 目录自动加斜线
2009年09月20日 -- nginx代理DNS缓存域欺骗漏洞
2009年08月24日 -- nginx 0.7不cache动态文件的方法
2009年08月24日 -- nginx做cache
2009年08月21日 -- LZX改的NC，支持SSL

黑帽大会：HTTPS和SSL存在安全漏洞

Chinadu — Mon, 02 Aug 2010 17:55:05 +0000

HTTPS(安全HTTP)和SSL/TLS(安全套接层/传输层安全)协议是Web安全和可信电子商务的核心,但Web应用安全专家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大会上宣布,Web浏览器的基础架构中存在24个危险程度不同的安全漏洞.这些漏洞基本上使HTTPS和SSL能够提供的浏览器保护荡然无存. HTTPS对HTTP协议进行了加密,以保护用户的页面请求和Web服务器返回的页面不被窃听.SSL及后来的TLS协议允许HTTPS利用公钥加密验证Web客户端和服务器.

Hansen和Sokol指出,攻击者要利用这些漏洞,首先需要发起中间人攻击.攻击者一旦劫持了浏览器会话,就可以利用这些漏洞中的大多数对会话进行重定向,从而窃取用户凭据或者从远程秘密执行代码.

然而,两位研究人员强调,中间人攻击并不是攻击者的终极目的.

Hansen指出,“利用中间人攻击,攻击者还可以实现许多更加容易的攻击.你不得不'执行'中间人攻击,并被迫成为一个十分坚定的攻击者……然而,这还不是最坏的情况.对于电子商务应用来说,这些攻击简直是毁灭性的灾难.”

实际上,Hansen怀疑HTTPS和SSL/TLS中可能有数百个安全问题有待发现.他说,由于要准备这次黑帽大会的演讲,他们还没来得及对此进行深入研究.

中间人攻击并不是什么新技术.由于各种原因,攻击者可以设法在一个浏览器会话过程中的多个时刻加入会话.一些攻击者能够使用包括MD5冲突在内的各种方法伪造或窃取SSL证书.由于在会话到达认证协商的加密端口之前,SSL协议是采用明文传输DNS和HTTP请求的,所以攻击者还可以在这些步骤中的任一时刻劫持会话.另外,攻击者还能够利用中间人攻击修改HTTPS链接,将用户重定向到恶意HTTP网站.

对任何攻击者来说,重复Hansen和Sokol所说的工作并不容易,它需要耐心和资源.两位专家强调,中间人攻击得逞之后,攻击者可能发动两种高度危险的攻击.

第一种是cookie篡改(cookie poisoning)攻击,即攻击者利用浏览器在用户会话期间不更改cookie的情况,将同一个cookie反复标记为有效状态.如果攻击者能够提前劫持来自网站的cookie,然后再将其植入用户的浏览器中,则当用户的认证信息到达HTTPS站点时,攻击者就能够获得用户凭据并以用户身份登录.

第二种是重定向攻击.许多银行网站会将用户的会话从一个HTTP站点重定向到一个HTTPS站点,该会话通常是在另一个浏览器选项卡中打开,而不是在一个新的浏览器窗口中打开.由于攻击者仍然控制着旧的选项卡,所以攻击者可以在URL中注入Javascript脚本并修改新选项卡的行为.受攻击者可能会下载可执行文件,或者被重定向到一个恶意登录页面.

Hansen和Sokol解释说,利用针对SSL Web浏览器会话的攻击,攻击者可以观察和计算用户在一个网站的特定页面上停留的时间.这可能会泄漏处理数据的页面.此时,攻击者可以在该网页上采用相关技术强迫用户退出登录并重新进行身份认证,从而获得用户凭据.

Hansen指出,“有必要对SSL进行修改,比如添加填充和抖动代码”.他解释说,通过在Web请求中添加无意义的编码,可以延长攻击者完成攻击的时间,也许足以阻止攻击者采取进一步的行动.他说,“要避免此类攻击,必须采取适当的选项卡隔离和沙箱技术.安全专家也许能够避免此类情况的发生,但普通用户却不得不面临这种威胁.我们真的很难阻止这种攻击,我不知道有没有简单的办法可以解决这个问题.”

2011年06月4日 -- Nginx https 免费SSL证书配置指南
2011年09月21日 -- WPA2不再安全无线加密协议曝惊天漏洞
2010年07月3日 -- 风讯（FooSun）GetPassword.asp页面存在任意修改密码漏洞
2010年05月8日 -- JBoss企业应用平台JMX控制台安全绕过漏洞
2010年03月17日 -- 网页编辑器漏洞手册
2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
2009年12月28日 -- fckeditor漏洞,通杀PHPMPS
2009年11月14日 -- Discuz!NT 3.0 特殊环境下利用漏洞
2009年11月2日 -- XOOPS 2.2.6 鸡肋本地包含漏洞
2009年10月7日 -- 封堵Windows Server 2008几个明显漏洞

LZX改的NC，支持SSL

Chinadu — Fri, 21 Aug 2009 02:01:40 +0000

作者：LZX

放出来时我改了下程序，加了句Welcome To http://t00ls.net
这个程序用了openssl，不喜欢跟随两个dll，所以openssl静态编译进去，所以比较大，最终好几百K
所以这个nc可以作为ssl的客户端，
比如gmail的安全性要求较高，smtp开始的对话是明文的，但在验证身份时就一定要切换到ssl协议，
下面演示了用这个程序登陆gmail的smtp，手工通过原始协议发送邮件给小腾，

C:\>zxnc
ZXNC v1.3 by LZX, Welcome To http://t00ls.net

Usage: ZXNC [-l -f -u -ssl] -save -h -p
Example:
ZXNC -ssl x.x.x.x 443
ZXNC -l -p 80 监听tcp端口
ZXNC -l -u -p 81 监听udp端口
ZXNC x.x.x.x 80
ZXNC -u x.x.x.x 81
args:
-h -p 指定目标主机地址和端口，如果不写-h -p则必须把目标主机地址和端口写
在参数的最后面
-save 将传输数据保存到指定文件
-l 本地监听，配合-p
-u 使用UDP，默认是TCP
-f 回车是CR/LF, 默认是LF
-ssl 使用SSL传输
Ctrl+Break 这个组合键可以切换到扩展命令模式

C:\>zxnc -f -save xx.log smtp.gmail.com 25
ESTABLISHED
220 mx.google.com ESMTP c20sm2567685rvf.40
EHLO hello
250-mx.google.com at your service, [10.137.1.23]
250-SIZE 35651584
250-8BITMIME
250-STARTTLS
250-ENHANCEDSTATUSCODES
250 PIPELINING
AUTH LOGIN
530 5.7.0 Must issue a STARTTLS command first. c20sm2567685rvf.40
STARTTLS
220 2.0.0 Ready to start TLS

Ctrl+Break Is Pressed. Switching To Command Mode....
command list:
?
sshut 优雅关闭socket
sclose 马上关闭socket
ssl 初始化SSL
sendcuttext 把当前剪贴板的文本数据发送过去
sendfile filename 将指定的filename的内容发送过去
exit 关闭进程
return 返回到之前的模式

>ssl
>初始化SSL...完成
return
EHLO hello2
250-mx.google.com at your service, [10.137.1.23]
250-SIZE 35651584
250-8BITMIME
250-AUTH LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250 PIPELINING
AUTH LOGIN
334 VXNlcm5hbWU6
cm9vdEBnbWFpbC5jb20=
334 UGFzc3dvcmQ6
WW91QXJlU0I=
235 2.7.0 Accepted
MAIL FROM: <****@gmail.com>
250 2.1.0 OK c20sm2567685rvf.40
RCPT TO: <admin@qq.com>
250 2.1.5 OK c20sm2567685rvf.40
DATA
354 Go ahead c20sm2567685rvf.40
From: fromXX <****@gmail.com>
To: toYY <admin@qq.com>
Subject: hello
MIME-Version: 1.0
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: 8bit

test test test

.
250 2.0.0 OK 1243944650 c20sm2567685rvf.40
QUIT
221 2.0.0 closing connection c20sm2567685rvf.40

[ZXNC] 操作成功完成。

send: 385 bytes
recv: 760 bytes

下面演示了模拟https访问google主页

C:\>zxnc -ssl www.google.com 443
ESTABLISHED
GET / HTTP/1.1
Host: www.google.com

HTTP/1.1 302 Found
Cache-Control: private
Location: http://www.google.com
Content-Type: text/html; charset=UTF-8
Content-Length: 218
Date: Tue, 02 Jun 2009 12:25:59 GMT
Server: GFE/2.0

302 Moved

The document has moved
here.

Ctrl+C Is Pressed.

[ZXNC] 操作成功完成。

send: 37 bytes
recv: 412 bytes

C:\>

下载地址：zxnc.rar

为FTP穿上SSL装甲客户端也能支持SSL

Chinadu — Tue, 25 Nov 2008 04:53:08 +0000

启动Serv-U FTP Server的SSL功能

Serv-U FTP Server是一种使用非常广泛的FTP服务器软件，它本身提供了SSL功能，但默认并未启用。由于FTP是以明文方式传输数据，为了保证数据的安全，我们有必要启用它的SSL功能。启用方法很简单，步骤如下。

步骤1：为自己的Serv-U FTP Server创建一个证书。要使用SSL功能，就必须为FTP Server提供一个服务器证书，Serv-U FTP Server安装后本身就生成了一个证书，但这个证书在所有的Serv-U FTP Server服务器上都是一样的，服务器的私钥也是一样的，所以这是不安全的。在使用SSL之前，我们必须创建一个新的证书。在Serv-U FTP Server的管理界面中点击“Local Server”下的“Settings”，然后选择右边窗格中的SSL Certificate标签，在“Common name”中填入FTP服务器的IP地址，其他的选项根据情况填写就行，完成后点击下方的“Apply”按钮，这样就会创建一个新的服务器证书。

步骤2：点击您要启用SSL的域名，比如图1中的“zhz”，在右窗格中的“Security”下有三个选项，第一个是默认选项，即“Regular FTP only,no SSL/TLS sessions”，这个选项表示不使用SSL；第二个选项是“Allow SSL/TLS and regular sessions”，也就是explicit SSL，它由客户端决定使用那种连接方式；第三个选项是“Allow only SSL/TLS sessions”，也就是implicit　SSL，只支持SSL连接，这里选择第三项，完成后点击“Apply”按钮即可。

FTP客户端也能支持SSL

现在有很多FTP客户端都支持SSL连接了，比如Cuteftp Pro和FlashFXP。不过这些东西都是需要花钱的，而且虽然支持SSL，但不一定就与Serv-U FTP Server相容。在这里向大家推荐一款免费的、并且支持SSL连接的FTP客户端软件：Secure FTP。它是纯Java软件，需要运行在版本号在1.3之上的Java环境中，您可以通过在命令行中输入Java version来检验版本号，如果命令不能执行或版本号低于1.3，您可以到http://www.sun.com.cn去下载更新的版本安装。对于 Secure FTP，它可以在http://www.download.com下载。

Secure FTP的使用方法如下：

步骤1：启动Secure FTP，点击工具栏上的红绿灯按钮打开连接对话框，如图3所示，在“hostname”中填入Serv-U FTP Server服务器的IP地址，在下面两栏中分别填入FTP帐户名和密码。

步骤2：切换到“Secutity”标签，点击“Secutity”栏下的下拉框，可以发现它支持两种连接方式：普通的连接和implicit SSL连接，不支持explicit SSL连接(如果您一定要使用这种连接，您可以使用Secure FTP的命令行版本，它支持所有的连接方式)，这里我们选择“implicit SSL”项，并勾选“Data Encryption”项。完成后点击“connect”即开始连接服务器。由于是SSL连接，所以连接时间明显比普通连接要长.当第一次使用时，还会弹出一个接受服务器证书的对话框，点击“Grant Always”按钮接受即可。

Chinadu's Blog » SSL

Nginx https 免费SSL证书配置指南

相关文章

黑帽大会：HTTPS和SSL存在安全漏洞

相关文章

LZX改的NC，支持SSL

302 Moved

相关文章

为FTP穿上SSL装甲客户端也能支持SSL

相关文章

Chinadu's Blog » SSL

Nginx https 免费SSL证书配置指南

相关文章

黑帽大会：HTTPS和SSL存在安全漏洞

相关文章

LZX改的NC，支持SSL

302 Moved

相关文章

为FTP穿上SSL装甲 客户端也能支持SSL

相关文章

为FTP穿上SSL装甲客户端也能支持SSL