前沿拓展：

寫在前面分享一些 Nginx 用戶認證、SSL 加密配置的筆記博文內容涉及 Nginx 用戶認證、SSL 加密配置 Demo通過 OpenSSL 生成使用 SSL 證書、私鑰和 CSR Demo理解不足小伙伴幫忙指正

用戶認證

安裝 nginx ,配置 nginx 的用戶認證

┌──[root@vms152.liruilongs.github.io]-[~]
└─$rpm -ql nginx || yum -y install nginx

安裝版本

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$nginx -v
nginx version: nginx/1.20.1

備份修改配置文件

┌──[root@vms.154.liruilongs.github.io]-[~]
└─$cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$vim /etc/nginx/nginx.conf

認證需要 在配置文件 server 模塊下面添加對應的配置，auth_basic 為提示信息，auth_basic_user_file 為賬密文件位置

server {
………..
auth_basic "auth-liruilong";
auth_basic_user_file /etc/nginx/pass;

安裝壓測工具，http-tools 可以創(chuàng)建訪問網站的用戶名和密碼

┌──[root@vms.154.liruilongs.github.io]-[~]
└─$yum -y install httpd-tools
……
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$htpasswd -c /etc/nginx/pass liruilong
New password:
Re-type new password:
Adding password for user liruilong

啟動服務，確認服務啟動

┌──[root@vms.154.liruilongs.github.io]-[~]
└─$systemctl start nginx
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$systemctl is-active nginx
active

訪問測試

SSL 虛擬主機配置

修改配置文件，需要把注釋的部分放開,第二在配置文件的指定的位置創(chuàng)建 SSL 相關密鑰，證書

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$cat /etc/nginx/nginx.conf
# For more information on configuration, see:
# * Official English Documentation: http://nginx.org/en/docs/
# * Official Russian Documentation: http://nginx.org/ru/docs/

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;

events {
worker_connections 1024;
}

http {
log_format main '$remote_addr – $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';

access_log /var/log/nginx/access.log main;

sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 4096;

include /etc/nginx/mime.types;
default_type application/octet-stream;

# Load modular configuration files from the /etc/nginx/conf.d directory.
# See http://nginx.org/en/docs/ngx_core_module.html#include
# for more information.
include /etc/nginx/conf.d/*.conf;

# Settings for a TLS enabled server.

server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name _;
root /usr/share/nginx/html;

ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;

error_page 404 /404.html;
location = /40x.html {
}

error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}

}

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$

創(chuàng)建 ssl 認證相關

┌──[root@vms.154.liruilongs.github.io]-[/etc/nginx/conf.d]
└─$mkdir -p /etc/pki/nginx/
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$mkdir private
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$cd private
生成 RSA 和 ECDSA 密鑰

生成生成 RSA 密鑰，服務器私鑰用于對報文進行解密

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx/private]
└─$openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
……+++
…………….+++
e is 65537 (0x10001)
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx/private]
└─$cd ..
其他可選項

生成 RSA 密鑰：

openssl genrsa -out example.key [bits]

打印 RSA 密鑰的文本表示：

openssl rsa -in example.key -text -noout

生成新的 RSA 密鑰并使用基于 AES CBC 256 加密的密碼短語進行加密：

openssl genrsa -aes256 -out example.key [bits]

檢查您的私鑰。如果密鑰有密碼短語，系統(tǒng)會提示您輸入密碼：

openssl rsa -check -in example.key

從密鑰中刪除密碼：

openssl rsa -in example.key -out example.key

使用密碼短語加密現有私鑰：

openssl rsa -des3 -in example.key -out example_with_pass.key

生成 ECDSA 密鑰。curve 將替換為：prime256v1、secp384r1、secp521r1 或任何其他支持的

openssl ecparam -genkey -name [curve] | openssl ec -out example.ec.key
創(chuàng)建證書簽名請求(CRS)

從現有私鑰創(chuàng)建 CSR

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$ls
private
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$openssl req -new -key ./private/server.key -out server.csr -subj "/CN=192.168.26.1"
可選項

在單個命令中創(chuàng)建沒有密碼短語的 CSR 和私鑰：

openssl req -nodes -newkey rsa:[bits] -keyout example.key -out example.csr

在命令行上提供 CSR 主題信息，而不是通過交互式提示。

openssl req -nodes -newkey rsa:[bits] -keyout example.key -out example.csr -subj "/C=UA/ST=Kharkov/L=Kharkov/O=Super Secure Company/OU=IT Department/CN=example.com"

從現有證書和私鑰創(chuàng)建 CSR：

openssl x509 -x509toreq -in cert.pem -out example.csr -signkey example.key

通過提供 openssl 配置文件為多域 SAN 證書生成 CSR：

openssl req -new -key example.key -out example.csr -config req.conf

配置文件 req.conf：

[req]
prompt=no
default_md = sha256
distinguished_name = dn
req_extensions = req_ext
[dn]
CN=example.com
[req_ext]
subjectAltName= @alt_names
[alt_names]
DNS.1=example.com
DNS.2=www.example.com
DNS.3=ftp.example.com
創(chuàng)建 X.509 證書

生成證書，使用現有的 CSR 和私鑰創(chuàng)建自簽名證書：

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$openssl x509 -req -days 3650 -in server.csr -signkey ./private/server.key -out server.crt
Signature ok
subject=/CN=192.168.26.1
Getting Private key
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$ls
private server.crt server.csr
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$
可選項

這里也可以從頭開始創(chuàng)建自簽名證書和新私鑰：

openssl req -nodes -newkey rsa:2048 -keyout example.key -out example.crt -x509 -days 365

使用您自己的“CA”證書及其私鑰簽署子證書。如果您是一家 CA 公司，這將顯示一個關于如何頒發(fā)新證書的非常簡單的示例。

openssl x509 -req -in child.csr -days 365 -CA ca.crt -CAkey ca.key -set_serial 01 -out child.crt

打印證書的文本表示

openssl x509 -in server.crt -text -noout

將證書的指紋打印為 md5、sha1、sha256 摘要：

openssl x509 -in cert.pem -fingerprint -sha256 -noout
驗證 CSR 或證書

驗證 CSR 簽名：

openssl req -in example.csr -verify

驗證私鑰是否與證書和 CSR 匹配：

openssl rsa -noout -modulus -in example.key | openssl sha256
openssl x509 -noout -modulus -in example.crt | openssl sha256
openssl req -noout -modulus -in example.csr | openssl sha256

驗證證書，前提是您在計算機上將根證書和任何中間證書配置為受信任：

openssl verify example.crt

當您有中間證書鏈時，驗證證書。根證書不是捆綁包的一部分，應該在您的機器上配置為受信任的。

openssl verify -untrusted intermediate-ca-chain.pem example.crt

驗證證書，當您有中間證書鏈和根證書時，未配置為受信任的證書。

openssl verify -CAFile root.crt -untrusted intermediate-ca-chain.pem child.crt

驗證遠程服務器提供的證書是否涵蓋給定的主機名。有助于檢查您的多域證書是否正確涵蓋了所有主機名。

openssl s_client -verify_hostname www.example.com -connect example.com:443
啟動 nginx 服務測試┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$systemctl start nginx

訪問測試，自簽名的證書

博文參考

https://dynacont.net/documentation/linux/openssl/

https://medium.com/free-code-camp/openssl-command-cheatsheet-b441be1e8c4a

https://www.sslshopper.com/article-most-common-openssl-commands.html

https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and-csrs

https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/certificates/

拓展知識：

remoteadministr

問題一：怎樣接收對方的遠程 利用QQ遠程協(xié)助可以實現遠程控制！如果你要控制他！那么由他發(fā)遠程控制給你！你接受就可以了，不會有任何**入侵，請放心！
一、“遠程協(xié)助”在哪兒
要與QQ好友使用遠程協(xié)助，那么第一打開與好友聊天的對話框，圖中鼠標指著的那個就是“窗口布局設置”，單擊一下，你就能找到“遠程協(xié)助”選項了。
二、“遠程協(xié)助”的申請
QQ的“遠程協(xié)助”功能設計似乎是比較小心的，要與好友使用“遠程協(xié)助”功能，必須由需要幫助的一方點擊“遠程協(xié)助”選項進行申請。提交申請之后，就會在對方的聊天窗口出現提示。
接下來接受請求方當然要點擊“接受”了。一方申請，一方接受，本以為可以了吧。還不行，這時又會在申請的一方的對話框出現一個對方已同意你的遠程協(xié)助請求，“接受”或“謝絕”的提示，只有申請方點擊“接受”之后，遠程協(xié)助申請才正式完成。
成功建立連接后，在非申請方就會出現對方的桌面了，并且是實時刷新的。右邊的窗口就是申請方的桌面了，這時他的每一步動作都盡收眼底，要叫他做什么就隨便你了。不過現在你還不能直接控制他的電腦，只能看。
要想控制對方電腦還得由申請方點擊“申請控制”，在雙方又再次點擊接受之后，才能開始控制對方的電腦。呵呵，趕快去看看對方的電腦里有什么好東東吧！
不過我要提醒你，QQ程序并沒有在遠程協(xié)助控制的時候鎖住申請方的鼠標和鍵盤，所以雙方要商量好哦，以免鼠標打架！經過與多個人的測試，QQ的遠程協(xié)助能夠不管雙方的網絡連接方式，也不用考慮防火墻因素等，只要大家都能用QQ就行，當然還是考慮到雙方網速才行，不要跟我說你還是用56K的小貓上網哦。
三、“遠程協(xié)助”的一些設置
1、在接受申請端可以點擊“窗口浮動”，這樣就會把對方的桌面弄成一個單獨的窗口。浮動窗口可以最大化，這樣你能盡可能的看到對方的全部桌面，看不完也沒關系，你可以拖動滾動條進行觀看。
2、是不是覺得顯示效果不好？因為考慮到網速的關系，所以QQ的默認效果是比較差的，如果你們的網速都夠快，那可以由申請方點擊如“設置”，就會出現“圖像顯示質量”和“顏色質量”的設置窗口了，自己根據帶寬能力來設置吧。
3、打字太累了吧，那就直接動嘴說吧。無論哪方點擊“視頻聊天”或者“音頻聊天”，都能直接用耳麥進行語音聊天哦，現在開始你的手把手，嘴對嘴的密技傳授吧！

問題二：怎么遠程連接到別人的電腦？不會的別來了 設置遠程桌面連接
在Windows XP 中新增了遠程桌面連接功能，使用遠程桌面連接，用戶可以將其他位置的計算機連接到本地計算機的桌面，執(zhí)行本地計算機中的程序或使用本地計算機連接到其他位置的計算機桌面，執(zhí)行其他計算機上的程序，非常的方便實用。
12.7.1 設置遠程桌面連接
設置遠程桌面連接，用戶先要與Internet 建立連接或在局域網中設置終端服務器。
在進行遠程桌面連接之前，用戶需要先對遠程桌面連接進行一些設置，具體**作如下：
（1）單擊“開始”按鈕，選擇“所有程序”“附件”“通訊”“遠程桌面連接”命令。
（2）打開“遠程桌面連接”對話框，
3）單擊“選項”按鈕，展開全部對話框。
（4）選擇“常規(guī)”選項卡
5）在“登錄設置”選項組的“計算機”文本框中輸入要進行遠程桌面連接的計算機的名稱；在“用戶名”文本框中輸入登錄使用的用戶名；在“密碼”文本框中輸入用戶的登錄密碼；在“域”文本框中輸入要登錄的域名稱；若用戶要保存密碼，可選中“保存密碼”復選框。
（6）在“連接設置”選項組中單擊“另存為”按鈕，可將當前的設置信息保存下來，保存過后，用戶可直接單擊“打開”按鈕，打開以保存的設置。
（7）單擊“連接”按鈕，即可進行遠程桌面連接。
（8）這時將彈出“登錄到”對話框
9）在該對話框的“用戶名”文本框中輸入登錄用戶的名稱；在“密碼”文本框中輸入登錄密碼；在“登錄到”下拉列表中選擇登錄的域。
（10）單擊“確定”按鈕，即可登錄到該計算機桌面
（11）在登錄成功后，用戶就可以使用該遠程桌面中的程序進行各項**作了。
注意
作者所選登錄的遠程桌面使用的是Windows 2000 server 版**作系統(tǒng)，用戶所登錄的遠程桌面可能會因為對方使用**作系統(tǒng)的不同而有所不同。
用戶使用該遠程桌面中的程序，并不影響該計算機的正常**作。
設置遠程桌面連接的顯示方式
在默認狀態(tài)下，遠程桌面連接以全屏方式顯示，用戶可以自行更改其顯示大小，讓其以800*600 像素顯示或以640*480 像素顯示，也可以更改遠程桌面的顏色顯示方式，其**作如下：
（1）單擊“開始”按鈕，選擇“所有程序”“附件”“通訊”“遠程桌面連接”命令，打開“遠程桌面連接”對話框。
（2）單擊“選項”按鈕，展開該對話框。
（3）選擇“顯示”選項卡
（4）在“遠程桌面大小”選項組中拖動滑塊，即可改變遠程桌面的大小。將滑塊拖到最右邊，可以全屏顯示；將滑塊拖到中間，可以800*600 像素顯示；將滑塊拖到最左邊，可以640*480 像素顯示。
（5）在“顏色”選項組中，單擊“顏色”下拉列表可選擇遠程桌面的顏色顯示方式，例如用戶可選擇256 色，增強色（16 位）或真色彩（24 位）等色彩顯示方式，在下面的“預覽”框中可看到所選顏色方式的預覽效果。
（6）若選中“全屏顯示時顯示連接欄”復選框，則在全屏顯示時會顯示連接欄。
設置遠程桌面連接的本地資源
在進行遠程桌面連接的設置中，用戶可選擇是否將遠程計算機的聲音、鍵盤方式帶到本地計算機上，及選擇在登錄到遠程桌面時需要連接的本地設備。
設置遠程桌面連接的本地資源可按以下**作進行：
（1）單擊“開始”按鈕，選擇“所有程序”“附件”“通訊”“遠程桌面連接”命令，打開“遠程桌面連接”對話框。
（2）單擊“選項”按鈕，展開全部對話框。
（3）選擇“本地資源”選項卡
（4）在該選項卡中“遠程計算機聲音”選項組中用戶可選擇將遠程計算機……>>

問題三：yy怎么給別人發(fā)遠程 暫時沒有此功能，謝謝

問題四：如何 qq遠程給別人上課？ 不是，在遠程協(xié)助的時候，需要對方點擊了“允許控制”，你才能控制別人的電腦。這樣是為了保護對方電腦的安全，相應的，對方可以隨時按ESC鍵取消你對他電腦的控制。
所以，建立遠程協(xié)助之后，只要對方點擊了“允許控制”，就行了。

問題五：怎么讓別人遠程控制 設置你的電腦允許遠程連接
在路由器里面將3389端口映射到你機器的IP地址
知道你當前的公網IP
通知對方，你的IP是多少 就可以遠程連接了

問題六：win7遠程桌面怎么遠程別人的電腦 第一要設置好被遠程電腦的用戶名密碼，打開“控制面板”。
點擊“用戶賬戶和家庭安全”。
點擊“更改密碼”。
點擊“為賬戶創(chuàng)建密碼”。
輸入密碼，點擊“創(chuàng)建密碼”就可以了。
接著打開計算機屬性，選擇“遠程設置”。
把“允許遠程協(xié)助連接這臺計算機”打鉤，下面的“允許運行任意版本遠程桌面的計算機連接（較不安全）”選中，其他的不用管它。至此，被遠程的計算機已經設置好了。

問題七：怎么用遠程桌面連接控制別人的電腦? 遠程桌面連接被控制電腦的設置1.我的電腦–屬性–選上允許用戶遠程連接到計算機
2.關閉防火墻
3.右鍵我的電腦–管理–服務和應用程序–服務–Terminal Services–屬性–設為自動并啟動
將Remote Access Connection Manager 設為手動并啟動
再將Remote Procedure Call（RPC）設為自動并啟動

問題八：怎么遠程連接別人電腦? 下載個“花生殼”軟件，別人就可以遠程訪問你的電腦了。你可以叫你的朋友裝個“花生殼”軟件，你就可以訪問他的電腦。打開開始菜單，選擇 程序/附件/通訊/遠程桌面連接，輸入需要連接的計算機的IP地址，用戶名，密碼，第二點 連接，就可以了。必須保證遠程計算機允許遠程桌面，右擊 我的電腦 圖標，選擇 屬性/遠程，在 允許用戶遠程連接到此計算機 前面打勾！

問題九：怎么遠程登陸別人的電腦 一、QQ遠程協(xié)助：
QQ遠程控制怎么**作，雙方都成功登陸qq，選擇的qq好友，點擊一下“遠程協(xié)助”按鈕，這時候在電腦桌面qq會話框右邊有提示“您邀請了某某某使用遠程協(xié)助。請等待回應……”對方選擇“同意”之后，即可立刻進行遠程控制，的電腦qq遠程控制窗口默認勾選的是“允許對方控制計算機”可隨時結束。
二、遠程桌面連接：
要在遠程機上設置，在系統(tǒng)屬性-遠程里邊，開啟遠程功能，可以在這里添加賬號，默認administrtor始終打開。在另一臺電腦上點開始-運行mstsc就能打開遠程桌面登陸終端，輸入遠程電腦的ip地址，用戶名和密碼就可以登陸到遠程主機上，就可以像本地登陸一樣完全控制遠程主機了。
三、網絡人遠程控制軟件：
網絡人無是使目前國內使用的最多的遠程控制軟件，據數據調查分析，網絡人遠程控制軟件月下載量達到10萬用戶。并且是國內首個獲得國家**部安全檢測認證以及軟件銷售許可中雙重檢測認證的正規(guī)遠程控制軟件，安全性能遠高于同行業(yè)標準。
網絡人遠程控制軟件分為個人版、企業(yè)版、旗艦版，以旗艦版為例說明一下使用網絡人遠程控制如何遠程登錄電腦：第一，雙方都需要安裝網絡人軟件（作為控制端的電腦安裝旗艦版控制端，被控的電腦安裝旗艦版被控端，這兩個程序都在旗艦版的壓縮包里），第二注冊一個賬號，控制端使用賬號和密碼登陸，被控端電腦使用跟控制端相同的賬號登陸，這個時候在控制端的電腦上“在線主機”欄位可以看到被控端電腦并且對被控端電腦進行遠程控制**作。