Maison >Opération et maintenance >Nginx >Comment configurer SSL dans nginx
Exemple de configuration SSL unidirectionnelle :
server{ listen 443 ssl; server_name www.123.com; root /data/wwwroot/www.123.com/ ; index index.html ; ssl_certificate server.crt; ssl_certificate_key server.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL; ssl_prefer_server_ciphers on; location / { } }
Instructions de configuration :
1. 443端口为ssl监听端口。 2. ssl on表示打开ssl支持。 3. ssl_certificate指定crt文件所在路径,如果写相对路径,必须把该文件和nginx.conf文件放到一个目录下。 4. ssl_certificate_key指定key文件所在路径。 5. ssl_protocols指定SSL协议。 6. ssl_ciphers配置ssl加密算法,多个算法用:分隔,ALL表示全部算法,!表示不启用该算法,+表示将该算法排到最后面去。 7. ssl_prefer_server_ciphers 如果不指定默认为off,当为on时,在使用SSLv3和TLS协议时,服务器加密算法将优于客户端加密算法。
Remarque :
nginx Lors de l'installation du code source, le module SSL n'est pas activé par défaut et doit être recompilé et installé. La commande d'installation est la suivante :
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
make && make install
Puis redémarrez nginx
#. 🎜🎜#Exemple de configuration SSL à double ligne
server{ listen 443 ssl; server_name www.123.com; root /data/wwwroot/www.123.com/ ; index index.html ; ssl_certificate server.crt; ssl_certificate_key server.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL; ssl_prefer_server_ciphers on; ssl_client_certificate ca.crt; //这里的ca.crt是根证书公钥文件 ssl_verify_client on; location / { } }Explication : a deux lignes en gras de plus que le sens unique, mais après avoir configuré le bidirectionnel, le le serveur doit également authentifier le certificat du client. Dans des circonstances normales, notre SSL unidirectionnel est plus couramment utilisé.
Remarque :
Comme notre certificat est un certificat émis par une autorité de certification auto-construite, le navigateur ne fait pas confiance au certificat, donc quand accès Parfois, le message "Le certificat n'est pas fiable" s'affichera. Dans ce cas, il vous suffit d'importer le certificat racine de l'autorité de certification dans la "Trusted Root Certification Authority" du navigateur et le message "Le certificat n'est pas fiable" ne vous sera plus demandé. La manière d'exporter le certificat disponible pour Windows est la suivante :[root@localhost root_ca]# openssl pkcs12 -export -inkey private/ca.key -inCopiez le certificat exporté vers Windows, double-cliquez pour l'installer et suivez l'assistant pour importer vers "Autorité de certification racine de confiance", c'est tout.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!