Konfigurieren Sie den sicheren SSL-Zertifikattransport in Nginx

Mit der Popularität des Internets ist Netzwerksicherheit zu einem wichtigen Thema geworden, dem die Menschen immer mehr Aufmerksamkeit schenken. Das SSL-Zertifikat ist eines der wirksamsten Mittel zur Gewährleistung der Website-Sicherheit. Als beliebte Webserver-Software unterstützt Nginx das SSL-Protokoll. Sie können ein SSL-Zertifikat konfigurieren, um die Sicherheit des Website-Kommunikationsprozesses zu gewährleisten. In diesem Artikel wird ausführlich beschrieben, wie Sie die sichere SSL-Zertifikatübertragung in Nginx konfigurieren.

1. Besorgen Sie sich ein SSL-Zertifikat

Bevor Sie ein SSL-Zertifikat konfigurieren, müssen Sie zunächst das Zertifikat besorgen. Generell können SSL-Zertifikate bei einer Zertifizierungsstelle erworben oder selbst generiert werden. Durch den Kauf eines SSL-Zertifikats erhalten Sie ein vertrauenswürdigeres Zertifikat, das jedoch mit einer Gebühr verbunden ist. Selbst erstellte Zertifikate können kostenlos genutzt werden, allerdings ist die Sicherheit relativ gering. Dieser Artikel verwendet Let's Encrypt als Beispiel, um vorzustellen, wie man ein SSL-Zertifikat erhält.

1. Installieren Sie das Certbot-Tool

Certbot ist ein automatisiertes SSL-Zertifikatsverwaltungstool, das automatisch SSL-Zertifikate abrufen und konfigurieren kann. Die Methode zur Installation von Certbot im Linux-System ist wie folgt:

Auf Ubuntu:

sudo apt-get install certbot python3-certbot-nginx

Auf CentOS:

sudo yum install certbot python3-certbot-nginx

2. SSL-Zertifikat erhalten

Certbot unterstützt die automatische Ausführung der Aufgabe zum Erhalten eines SSL-Zertifikats. Führen Sie einfach den folgenden Befehl aus .:

sudo certbot --nginx -d example.com

Unter diesen folgt auf den Parameter -d der Domänenname, für den das SSL-Zertifikat angefordert werden muss. Certbot erkennt die Nginx-Konfigurationsdatei automatisch und richtet das SSL-Zertifikat ein, ohne die Nginx-Konfigurationsdatei manuell zu ändern.

2. Konfigurieren Sie Nginx, um SSL zu aktivieren.

Nachdem Sie das SSL-Zertifikat erhalten haben, müssen Sie SSL in Nginx aktivieren. Die Konfigurationsmethode lautet wie folgt:

1. Ändern Sie die Nginx-Konfigurationsdatei

Öffnen Sie die Nginx-Konfigurationsdatei nginx.conf, suchen Sie den http-Block und fügen Sie den folgenden Inhalt hinzu:

http {
    #其他http配置

    server {
        listen 443 ssl;
        server_name example.com;

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

        #其他配置
    }
}

Unter diesen bedeutet „lauschen“ 443 SSL „hören“. HTTPS-Anfragen und die Servername-Konfiguration müssen auf den Domänennamen abgehört werden, ssl_certificate gibt den öffentlichen Schlüssel des SSL-Zertifikats an, ssl_certificate_key gibt den privaten Schlüssel des SSL-Zertifikats an.

2. Nginx neu starten

Nachdem die Konfiguration abgeschlossen ist, müssen Sie den Nginx-Dienst neu starten.

Auf Ubuntu:

sudo service nginx restart

Auf CentOS:

sudo systemctl restart nginx

3. SSL-Konfiguration optimieren

Neben der Konfiguration von SSL-Zertifikaten gibt es noch einige andere Sicherheitsmaßnahmen, die die Sicherheit von SSL erhöhen können. Beispielsweise kann die Deaktivierung unsicherer Protokolle, Cipher Suites usw. in der Nginx-Konfigurationsdatei konfiguriert werden.

Hier sind einige gängige SSL-Konfigurationsoptimierungen:

1. SSLv2 und SSLv3 deaktivieren: SSLv2 und SSLv3 haben sich als unsicher erwiesen und sollten deaktiviert werden. Fügen Sie den folgenden Code zur Nginx-Konfigurationsdatei hinzu:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

2. Verwenden Sie eine starke Verschlüsselungssuite: Die Verwendung einer stärkeren Verschlüsselungssuite kann die Sicherheit von SSL verbessern. Fügen Sie den folgenden Code zur Nginx-Konfigurationsdatei hinzu:

ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256;

3. OCSP-Stapling aktivieren: OCSP-Stapling kann die Netzwerklatenz während des SSL-Handshakes reduzieren und die SSL-Leistung und -Sicherheit verbessern. Fügen Sie der Nginx-Konfigurationsdatei den folgenden Code hinzu:

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;

4. SSL-Sicherheit testen

Nach Abschluss der SSL-Konfiguration können Sie das Online-SSL-Sicherheitstesttool verwenden, um die SSL-Sicherheit zu testen, um die Richtigkeit der Konfiguration und Sicherheit sicherzustellen . Es wird empfohlen, das Online-Testtool von Qualys SSL Labs zu verwenden, mit dem die Sicherheit von HTTPS-Servern umfassend getestet werden kann.

Durch die oben genannten Schritte haben Sie die sichere SSL-Zertifikatübertragung in Nginx erfolgreich konfiguriert und Ihre Website sicherer und vertrauenswürdiger gemacht. Gleichzeitig ist es auch wichtig, die SSL-Konfigurationsstrategien kontinuierlich zu aktualisieren und die SSL-Sicherheit zu stärken. Ich hoffe, dass die Leser auf dem Weg zum Schutz der Sicherheit ihrer eigenen Websites immer sicherer werden.

Das obige ist der detaillierte Inhalt vonKonfigurieren Sie den sicheren SSL-Zertifikattransport in Nginx. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!