Red de conocimiento informático - Consumibles informáticos - Configurar http y tcp para admitir ssl

Configurar http y tcp para admitir ssl

Recientemente, debido a Apple ATS, todos los backends de la empresa necesitan utilizar conexiones seguras; las interfaces externas del backend incluyen principalmente dos formas:

Se accede a los servicios externos a través de nginx. Se utiliza el servidor de autenticación unidireccional del cliente, por lo que solo es necesario configurarlo en nginx:

Además, para mejorar el rendimiento de nginx ssl, se pueden agregar elementos de configuración adicionales, como ssl_session_cache;

Tanto el certificado como la clave privada están en formato PEM (texto). Si son autofirmados, se pueden generar de la siguiente manera:

Ya que el cliente necesita verificar el servidor. , el certificado debe distribuirse al cliente:

Nota: ios requiere un certificado en formato binario, por lo que debe convertirse

Nota: ios requiere un certificado en BKS. formato, que es similar a JKS en el lado de Java, por lo que debe convertirse

TCP se configura a través de haproxy:

Se puede generar de las siguientes maneras:

Nota: El formato de server.pem es PEM, que consta de un certificado y una clave privada. El servidor envía al cliente. El cliente solo enviará el certificado, de hecho, nginx también puede colocar el certificado y la clave privada; en un archivo

Después de la instalación y configuración, puede utilizar las herramientas proporcionadas por nmap para ver el certificado del servidor y la versión del protocolo, el conjunto de algoritmos y otra información. La siguiente figura toma a Baidu como ejemplo:

**Nota: El script mejorado por nmap limita el puerto, por lo que si el puerto de acceso de su aplicación no es 443, necesita modificar el script. Normalmente, el script se encuentra en /usr/share/nmap/scripts, <. /p>

Para conocer el soporte de Java para SSL y TLS, consulte este artículo. Para evitar situaciones similares, debe configurar la configuración relevante a través de la directiva ssl_ciphers;

Además, dado que openssl usa. números aleatorios, puede consultar este artículo para la configuración

1. Configurar el servidor https

2. Configuración de Haproxy SSL

3. Configurar la terminación SSL para un TCP upstream

4. Netty ssl

5. Adaptación de Ios9 a ATS