数字证书

　　服务端发送自己的公钥给CA（认证中心），CA先生成公钥的摘要，然后用自己的私钥对服务端的摘要进行加密，生成签名，之后将签名和服务端公钥作为数字证书发给服务端。

　　当服务端将数字证书发给客户端时，客户端用CA的公钥解密后得到服务端的公钥的摘要。

　　之后客户端生成公钥的摘要，并与解密的摘要对比，就可以判断公钥信息的正确性。

HTTPS通信过程

　　非对称加密是用来加密密钥，对称加密用来加密数据。

　　首先客户端请求服务端的443端口。

　　服务端有一对密钥，公钥和私钥，用做非对称加密的密钥。为了保证公钥不被篡改，要从CA获取数字证书。服务端将数字证书发给客户端。

　　客户端对数字证书进行检查使用CA公钥进行校验。

　　如果合法，客户端会生成一个随机字符串，用做对称加密的密钥。并用服务端的公钥对该密钥进行加密。

　　客户端发起第二次请求，将加密后的密钥发给服务端。

　　服务端用私钥解密后，就得到了客户端的密钥。

　　服务端用该密钥加密数据后发送给客户端。

　　客户端用该密钥解密数据，结束一次通信过程。

Certbot配置https数字证书

yum -y install yum-utilsyum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optionalyum install certbot python2-certbot-nginxpip install urllib3certbot --nginx

错误：ImportError: 'pyOpenSSL' module missing required functionality. Try upgrading to v0.14 or newer.

pip install --upgrade --force-reinstall 'requests==2.6.0'

nginx配置

server {        listen       443 ssl;        server_name  rov-lab.top www.rov-lab.top;        ssl_certificate    /etc/letsencrypt/live/rov-lab.top/fullchain.pem;        ssl_certificate_key  /etc/letsencrypt/live/rov-lab.top/privkey.pem;        #charset koi8-r;        #access_log  logs/host.access.log  main;        location /api {            proxy_pass http://127.0.0.1:8080/api;        }        location / {            root   /root/html/;            index  index.html index.htm;            try_files $uri $uri/ /index.html;        }    } server {    listen 80;    server_name rov-lab.top www.rov-lab.top;    rewrite ^(.*)$  https://$server_name$1 permanent;}