Heim > Artikel > Betrieb und Instandhaltung > So konfigurieren Sie SSL in Nginx
Einseitiges SSL-Konfigurationsbeispiel:
server{ listen 443 ssl; server_name www.123.com; root /data/wwwroot/www.123.com/ ; index index.html ; ssl_certificate server.crt; ssl_certificate_key server.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL; ssl_prefer_server_ciphers on; location / { } }
Konfigurationsanweisungen:
1. 443端口为ssl监听端口。 2. ssl on表示打开ssl支持。 3. ssl_certificate指定crt文件所在路径,如果写相对路径,必须把该文件和nginx.conf文件放到一个目录下。 4. ssl_certificate_key指定key文件所在路径。 5. ssl_protocols指定SSL协议。 6. ssl_ciphers配置ssl加密算法,多个算法用:分隔,ALL表示全部算法,!表示不启用该算法,+表示将该算法排到最后面去。 7. ssl_prefer_server_ciphers 如果不指定默认为off,当为on时,在使用SSLv3和TLS协议时,服务器加密算法将优于客户端加密算法。
Hinweis:
nginx aktiviert das SSL-Modul standardmäßig nicht während der Quellcode-Installation. Der Installationsbefehl lautet wie folgt folgt:
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
make && make install
Dann starten Sie Nginx neu.
Beispiel für eine zweizeilige SSL-Konfiguration
server{ listen 443 ssl; server_name www.123.com; root /data/wwwroot/www.123.com/ ; index index.html ; ssl_certificate server.crt; ssl_certificate_key server.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL; ssl_prefer_server_ciphers on; ssl_client_certificate ca.crt; //这里的ca.crt是根证书公钥文件 ssl_verify_client on; location / { } }
Erläuterung:
Es gibt zwei Zeilen mehr in Fettdruck als für unidirektional, aber nachdem die bidirektionale Konfiguration konfiguriert ist, muss der Server dies auch tun Authentifizieren Sie das Zertifikat des Clients. Unter normalen Umständen verwenden wir unidirektional. Die Verwendung von SSL ist häufiger.
Hinweis:
Da es sich bei unserem Zertifikat um ein von einer selbst erstellten Zertifizierungsstelle ausgestelltes Zertifikat handelt, vertraut der Browser dem Zertifikat nicht. Daher wird beim Zugriff die Meldung „Das Zertifikat ist nicht vertrauenswürdig“ angezeigt.
In diesem Fall müssen Sie nur das Stammzertifikat der Zertifizierungsstelle in die „Vertrauenswürdige Stammzertifizierungsstelle“ des Browsers importieren und erhalten nicht mehr die Meldung „Das Zertifikat ist nicht vertrauenswürdig“.
Die Methode zum Exportieren in ein für Windows verfügbares Zertifikat ist wie folgt:
[root@localhost root_ca]# openssl pkcs12 -export -inkey private/ca.key -in
Kopieren Sie das exportierte Zertifikat nach Windows, doppelklicken Sie zum Installieren und folgen Sie dem Assistenten, um es in „Vertrauenswürdige Stammzertifizierungsstelle“ zu importieren.
Das obige ist der detaillierte Inhalt vonSo konfigurieren Sie SSL in Nginx. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!