局域网安全的https协议解决方案

这篇具有很好参考价值的文章主要介绍了局域网安全的https协议解决方案。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

我们在有域名、有公网ip的情况下通常直接在域名管理中可以申请ssl证书,利用nginx可以做到安全的https协议,有时候我们需要将局域网内的服务地址也要做成https协议,如果直接利用nginx转发443端口,访问时会告警,提示不安全的地址,需要手动点一下才能进入网站,非常不方便

解决方案

利用openssl生成证书+nginx提供https协议,访问设备信任安装的证书达到目的

openssl生成证书,注意有几个中文提示的地方是需要手动修改后再执行命令

  • 检查是否安装了openssl,通常linux内核的系统都安装了这个

openssl version
  • 生成根证书私钥和根证书 -keyout CA-private.key -out CA-certificate.crt

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -subj “/C=CN/ST=省份拼音/L=城市拼音/O=机构名称拼音” -keyout CA-private.key -out CA-certificate.crt -reqexts v3_req -extensions v3_ca
  • 生成自签名证书私钥 -out private.key

openssl genrsa -out private.key 2048
  • 根据自签名证书私钥生成自签名证书申请文件 -out private.csr

openssl req -new -key private.key -subj “/C=CN/ST=省份拼音/L=城市拼音/O=机构名称拼音/CN=你的IP地址” -sha256 -out private.csr
  • 定义自签名证书扩展文件(解决chrome安全告警)。在默认情况下生成的证书一旦选择信任,在 Edge, Firefox 等浏览器都显示为安全,但是Chrome仍然会标记为不安全并警告拦截, 这是因为 Chrome 需要证书支持扩展 Subject Alternative Name, 因此生成时需要特别指定 SAN 扩展并添加相关参数,将下述内容放到命名为private.ext文件中,该文件与上方生成的文件放到同一个文件夹下

  [req]
  default_bits        = 1024
  distinguished_name  = req_distinguished_name
  req_extensions      = san
  extensions          = san
  [req_distinguished_name]
  countryName         = CN
  stateOrProvinceName = Definesys
  localityName        = Definesys
  organizationName    = Definesys
  [SAN]
  authorityKeyIdentifier=keyid,issuer
  basicConstraints=CA:FALSE
  keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
  subjectAltName = IP:你的IP地址
  • 根据根证书私钥及根证书-CA CA-certificate.crt -CAkey CA-private.key、自签名证书申请文件 -in private.csr、自签名证书扩展文件 -extfile private.ext,生成自签名证书 -out private.crt

openssl x509 -req -days 3650 -in private.csr -CA CA-certificate.crt -CAkey CA-private.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN
  • 使用nginx代理成https协议,配置如下

  #user http;
  worker_processes  1;
    
  #error_log  logs/error.log;
  #error_log  logs/error.log  notice;
  #error_log  logs/error.log  info;
    
  #pid        logs/nginx.pid;
    
    
  events {
      worker_connections  1024;
  }
    
    
  http {
      include       mime.types;
      default_type  application/octet-stream;
    
      #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
      #                  '$status $body_bytes_sent "$http_referer" '
      #                  '"$http_user_agent" "$http_x_forwarded_for"';
    
      #access_log  logs/access.log  main;
    
      sendfile        on;
      #tcp_nopush     on;
    
      #keepalive_timeout  0;
      keepalive_timeout  65;
      types_hash_max_size 1024;
      types_hash_bucket_size 64;
    
      #gzip  on;
    
      # 本地api服务提供https
      server {
          listen       443 ssl;
          # server_name  localhost;
    
          # 该配置默认情况为off,允许自定义请求头部的key,带下划线,默认会忽略掉
          underscores_in_headers on;
          ssl on;
          ssl_certificate /home/family/app/ssl/intranet/private.crt;
          ssl_certificate_key /home/family/app/ssl/intranet/private.key;
          ssl_session_timeout 5m;
          ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
          ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
          ssl_prefer_server_ciphers on;
    
          location / {
              #请求大小
              client_max_body_size 32M;
              # 重写请求头部host字段
              proxy_set_header Host $host;
              # 重写来源IP
        		proxy_set_header X-Real_IP $remote_addr;
              # 重写http请求来源
        		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
              proxy_http_version 1.1;
              proxy_set_header Upgrade $http_upgrade;
              proxy_set_header Connection "upgrade";
              proxy_pass http://127.0.0.1:8800;
          }
      }
  }
  • 最终需要将生成的CA-certificate.crt证书文件执行安装,然后完全信任它

mac 安装证书后要在钥匙串app中找到这个证书,然后双击设置完全信任
荣耀手机,进入设置,安全,更多安全设置,加密和凭据,从存储设备安装,安装ca证书,其它的安卓应该也是类似
其它的设备自行查资料,逻辑都是一样的,要安装这个证书,信任这个证书
  • 通过浏览器使用https协议方式访问nginx代理的ip地址,可以看到服务能正常访问,也不会告警成不安全文章来源地址https://www.toymoban.com/news/detail-635032.html

到了这里,关于局域网安全的https协议解决方案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • vue3前端模拟https安全策略同局域网内测试方法-local-ssl-proxy

    直接在cmd跑即可,不过我们应该先运行项目 为什么要用https安全策略呢,因为http浏览器策略访问权限有限,不能使用navigator的激活“用户音频或视频”的方法,所以必须要用https安全策略 这里我们用的npm中local-ssl-proxy包 local-ssl-proxy on GitHub 或者以下简写方式 解释 改一下hos

    2024年02月16日
    浏览(37)
  • MacOS访问某局域网域名存在问题,但是ip可以正常访问的问题解决方案

    背景: 公司服务器部署wiki,之前macos访问wiki服务都是通过ip:8090形式访问,后来给wiki服务配置了域名wiki:8090,后macos浏览器连接同样的网络却一直没办法正常域名访问wiki,但可以ip访问wiki,但是其他同事们都可以正常访问。 解决方案: 1. 首先排查本地域名解析是否正确 ns

    2024年01月17日
    浏览(97)
  • 实现不同局域网文件共享的解决方案:使用Python自带HTTP服务和端口映射

    数据共享作为和连接作为互联网的基础应用,不仅在商业和办公场景有广泛的应用,对于个人用户也有很强的实用意义。也正因如此,大量数据共享软件被开发出来,云存储的概念也被重复炒作。对于爱好折腾的笔者来说,用最简单的工具找寻私人共享和存储解决方案,也是

    2024年02月11日
    浏览(38)
  • 局域网搭建SSL,使用HTTPS服务教程

    1.1 .csr(证书请求文件) .csr 是证书请求文件(certificate signing request),是由 RFC 2986定义的PKCS10格式,包含部分/全部的请求证书的信息,比如,主题, 机构,国家等,并且包含了请求证书的公玥,这些被CA中心签名后返回一张证书。返回的证书是公钥证书(只包含公玥不含私钥)

    2024年02月02日
    浏览(38)
  • Nginx开启https和局域网访问配置攻略

    随着网络应用的普及,越来越多的服务和应用开始运行在互联网上。这些服务和应用需要保护用户数据的机密性、完整性和可用性。HTTPS作为一种可防止中间人攻击的加密通信协议,可以有效地保护用户数据的安全性和隐私性。同时,对于在局域网内部运行的服务和应用,也

    2024年03月10日
    浏览(48)
  • 利用SMB协议实现局域网内设备文件的共享

    利用SMB协议实现局域网内iPad、iPhone、Windows文件快速传输 通过SMB协议可以实现主设备共享文件夹,及外部设备访问共享文件夹。 这里的主设备可以是windows系统,macOS系统。外部设备可以是windows系统,macOS系统,ipad,iphone等。 下面以windows为主设备,ipad为外部设备举例 方法一

    2024年02月10日
    浏览(51)
  • 内网安全 - 局域网探针

    基础知识 DMZ区域   英文全名“Demilitarized Zone”,中文含义是“隔离区”。在安全领域的具体含义是“ 内外网防火墙之间的区域 ”。DMZ作用是把Web、Mail、FTP等一些不含机密信息的允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不

    2024年02月15日
    浏览(46)
  • 局域网安全的基本常识介绍

    转自:微点阅读  https://www.weidianyuedu.com 目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。那么关于局域网安全我们需要连接哪些知识呢,下

    2024年01月20日
    浏览(41)
  • 局域网安全-DHCP欺骗实验

    1.构建网络拓扑结构图 2.路由器配置 3.DHCP服务器配置 4.域名服务器配置 5.web服务器配置 6.配置路由器R0 7.配置路由器R1 8.PC自动获取ip信息 9.修改web服务器主页 10.PC访问web服务器 11.构建伪造web服务器 12.构建伪造DHCP服务器 13.构建伪造DNS服务器 14.PC重新获得网络信息 15.PC访问web服

    2024年01月25日
    浏览(39)
  • 华为ospf路由协议在局域网中的高级应用案例

    关键配置: 1、出口为ospf区域0,下联汇聚依次区域1、2…,非骨干全部为完全nssa区域 2、核心(abr)上对非骨干区域进行路由汇总,用于解决出口两台路由的条目数量 3、ospf静默接口配置在汇聚下联接接入交换机的vlan 4、核心交换机配置黑洞路由,防止内网用户探测不存在的

    2024年02月16日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包