Comment Nginx utilise la bibliothèque OpenSSL pour une communication plus sécurisée

Nginx est un logiciel largement utilisé dans les serveurs Web, les équilibreurs de charge, les proxys inverses et les caches. Lors de la transmission réseau, le cryptage et la sécurité des données font l’objet d’une attention croissante. Afin d'améliorer la sécurité des communications, la bibliothèque OpenSSL peut être utilisée pour implémenter le protocole SSL/TLS pour protéger la transmission des données sensibles. Cet article expliquera comment utiliser Nginx et la bibliothèque OpenSSL pour obtenir une communication plus sécurisée.

1. Installer et configurer la bibliothèque OpenSSL

Tout d'abord, vous devez installer la bibliothèque OpenSSL sur le serveur. Vous pouvez utiliser le gestionnaire de packages pour installer. Par exemple, pour les systèmes Ubuntu et Debian, vous pouvez utiliser la commande suivante :

sudo apt-get install libssl-dev

Une fois l'installation terminée, effectuez les réglages appropriés dans la configuration Nginx. Vous devez pointer le chemin du certificat SSL et le chemin de la clé vers les fichiers correspondants. En même temps, vous devez également activer le protocole SSL et les paramètres d'optimisation de sécurité associés :

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /path/to/certificate.crt;
    ssl_certificate_key /path/to/private.key;

    #优化SSL加密方式
    ssl_protocols TLSv1.3;
    ssl_ciphersuites TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256;
    ssl_prefer_server_ciphers on;
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;

    #提高安全性
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload;" always;
    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-Xss-Protection "1; mode=block";

    #其他配置
    location / {
        ...
    }   
}

Dans la configuration ci-dessus, la commande "listen" est utilisée pour activer le protocole SSL et charger le protocole http2 en même temps pour améliorer efficacité. "ssl_certificate" et "ssl_certificate_key" sont les chemins d'accès aux certificats correspondants. De plus, des paramètres tels que l'algorithme de cryptage et le délai d'expiration de la session doivent également être définis.

Afin d'améliorer la sécurité, vous pouvez également ajouter des en-têtes de réponse HTTP, tels que "Strict-Transport-Security", "X-Content-Type-Options", "X-Frame-Options" et "X-Xss- Protection", etc. , pour protéger votre site des attaques malveillantes.

2. Générer un certificat SSL

Le certificat SSL est un outil important pour sécuriser les communications. Généralement, vous pouvez vous adresser à une autorité de certification (CA) pour obtenir un certificat SSL. Cependant, nous pouvons également générer nous-mêmes un certificat SSL auto-signé à des fins de test ou pour une utilisation privée sur un site Web.

Sous les systèmes Ubuntu et Debian, vous pouvez suivre les étapes suivantes pour générer un certificat SSL :

1) Créer un certificat et une clé

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt

Cette commande générera un certificat SSL auto-signé et la clé privée correspondante. Au cours du processus de génération, vous serez invité à saisir certaines informations nécessaires, telles que l'unité organisationnelle, le nom public, etc.

2) Configurez Nginx

Suivez les étapes de configuration précédentes et spécifiez les chemins d'accès au certificat et aux fichiers de clé dans la configuration Nginx.

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
    ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;

    ...
}

3. Configurer l'optimisation des performances SSL

La communication cryptée basée sur le protocole SSL augmentera la charge sur le serveur et le retard du réseau. Par conséquent, lors de l’utilisation du protocole SSL pour la communication, les performances doivent être optimisées.

Certains paramètres d'optimisation couramment utilisés sont les suivants :

1) Activez l'accélérateur SSL

L'accélérateur SSL peut accélérer le processus de prise de contact, le traitement de cryptage et de décryptage du protocole SSL, etc. La technologie du moteur OpenSSL peut être utilisée dans Nginx pour obtenir un traitement SSL accéléré par le matériel. Le choix spécifique doit être combiné avec la situation réelle. Vous pouvez suivre les paramètres suivants :

ssl_engine on;
ssl_engine_device /dev/pkcs11engine;
ssl_engine_param "/path/to/config.xml";

2) Fusionner la chaîne de certificats

Stockez le certificat SSL et le certificat racine de son autorité émettrice dans le même fichier de certificat, réduisant ainsi le besoin. pour que le client vérifie le certificat Nombre de fois et surcharge de mémoire :

cat your_domain.crt ca_bundle.crt > your_domain_ca.crt 

3) Activer OCSP Stapling

OCSP Stapling est une technologie d'optimisation utilisée pour vérifier la légitimité du certificat du serveur. Lorsqu'un client reçoit un certificat de serveur, il demande une vérification au serveur OCSP de l'autorité émettrice, augmentant ainsi la latence du réseau. La technologie OCSP Stapling peut réduire ce délai, mettre en cache la réponse OCSP côté serveur et la renvoyer directement lorsque le client le demande, réduisant ainsi les délais réseau et les requêtes QPST.

Dans Nginx, vous pouvez activer l'agrafage OCSP comme suit :

server {
    ...
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /path/to/chain.pem;
    resolver DNS_SERVER;
    ...
}

4. Surveillance des connexions SSL

Enfin, nous devons surveiller et gérer les connexions SSL. Vous pouvez utiliser le module d'extension SSL ngx_http_ssl_module fourni par Nginx pour une surveillance et une journalisation détaillées des connexions SSL.

Peut être combiné avec d'autres outils de surveillance, tels que Prometheus pour la surveillance et l'alarme des indicateurs SSL, et ELK pour la journalisation SSL et l'analyse statistique.

Conclusion

Dans cet article, nous avons présenté comment utiliser la bibliothèque OpenSSL pour obtenir une communication plus sécurisée. En configurant les certificats SSL, les algorithmes de chiffrement, les paramètres d'optimisation et la gestion de la surveillance, la sécurité et les performances des communications peuvent être considérablement améliorées. Dans le même temps, nous devons continuer à prêter attention et à apprendre les dernières technologies de sécurité SSL pour protéger notre site Web et nos données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!