由於對網路安全的監督和管控越來越嚴格,chrome等瀏覽器強制要求https看樣子也是大勢所趨,所以我們遇到了服務http公升級為https協議的需求。我們企業對外的服務早已經是https協議了,但是內部一些工具的改造還在起步階段,本篇的改造策略只是拿jira和confluence來舉個實戰例子,其思想和步驟可以試用於其他場景。
http存在的漏洞和https是如何解決這些安全問題的可以詳見我前面的一篇博文《這裡不再詳細論述。
openssl命令建立出key和csr,其中csr提供給認證機構換取crt證書檔案,key留給自己秘密保管。
為了避免sha-1,確保更強的安全性,我們還會採取diffie-hellman金鑰交換。
cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 2048 # 如果你的機器效能足夠強大,可以用 4096 位
所生成的檔案也許要妥善保管,nginx配置時會用到。
總體分為兩大解決方案:服務端直接提供https服務和通過轉換層來實現,前者我們不推薦,因為這個需要改造**,後者也有多種實現方式,我所知的就有3種。
本地**:nginx
通過本地的nginx做https解析和**,優點是成型快,缺點是會暴露敏感資訊,不方便擴充套件,適用於單個的web服務。
雲平台loadbalance:
直接在雲平台的loadbalance配置https監聽,優點是配置簡單,敏感資訊許可權可控且可復用,缺點是服務必須建設在雲平台上。
waf(web公用防火牆):
本質上跟第一種方案差不多,只是把https轉http這一層從本地抽走專門拿出一層來做處理,帶來的優點是避免敏感資訊洩露,省去了服務端配置,缺點是需要專人搭建waf環境。
}其中80埠配置二選一,一種是強制要求https,將80**到443;一種是https和http同時支援。
這個是atlassian產品需要配置的,對於我們自己開發的web服務來說這一步是非必需的。
修改jira配置:
修改confluence配置:
cd $/conf/server.xml
baseurl,由http修改為https
jira:管理à系統à一般設定à基本url
confluence:管理à一般配置à站點配置à伺服器主頁url
2 遠端應用程式
應用程式à整合à配置應用程式鏈結à遠端應用程式
iptables、防火牆放開443埠
這個是最容易被忽略的,當改為https協議後你對外服務的埠變更了,一定要保證你機器內部和所在雲的安全組放通新的埠,否則將導致整個服務不可用,一次公升級最終變成了乙個故障。
應用層的HTTP協議
應用層協議定義了執行在不同端系統上的應用程式程序如何相互傳遞報文,特別是 1 交換的報文型別,例如請求報文和響應報文 2 各種報文型別的語法,例如報文中的各個欄位及這些欄位是如何描述的 3 欄位的語義,即這些欄位中包含的資訊的含義 4 乙個程序何時以及如何傳送報文,對報文進行響應的規則 web的應用...
HTTP協議快取機制的應用
快取的目 的是減少相應延遲 和 減少網路頻寬消耗,比如css js 這類靜態資源應該進行快取。實際專案 一般使用反向 伺服器 如nginx apache等 進行快取。關鍵字 cache control,expire,if none match,if modified since,etag,last ...
iphone ipad應用的公升級更新提醒和評分提醒
首先寫乙個單例類 qingdaobroadcastipad created by ihope on 13 7 23.任海麗 end 實現類 qingdaobroadcastipad created by ihope on 13 7 23.更新公升級 else 評分 bool nevergrade n...