Maison >Opération et maintenance >Nginx >Configurer le transport de certificat SSL sécurisé dans Nginx

Configurer le transport de certificat SSL sécurisé dans Nginx

WBOY
WBOYoriginal
2023-06-10 19:10:381870parcourir

Avec la popularité d'Internet, la sécurité des réseaux est devenue un sujet important auquel les gens prêtent de plus en plus d'attention. Le certificat SSL est l'un des moyens efficaces pour assurer la sécurité d'un site Web. En tant que logiciel de serveur Web populaire, Nginx prend en charge le protocole SSL. Vous pouvez configurer un certificat SSL pour garantir la sécurité du processus de communication du site Web. Cet article décrira en détail comment configurer la transmission sécurisée du certificat SSL dans Nginx.

1. Obtenir un certificat SSL

Avant de configurer un certificat SSL, vous devez d'abord obtenir le certificat. De manière générale, les certificats SSL peuvent être achetés auprès d'une autorité de certification ou générés vous-même. L'achat d'un certificat SSL vous donne un certificat plus fiable, mais il est payant. Les certificats auto-générés peuvent être utilisés gratuitement, mais la sécurité est relativement faible. Cet article utilise Let's Encrypt comme exemple pour présenter comment obtenir un certificat SSL.

  1. Installez l'outil Certbot

Certbot est un outil de gestion automatisé de certificats SSL qui peut automatiquement obtenir et configurer des certificats SSL. La méthode pour installer Certbot sur le système Linux est la suivante :

Sur Ubuntu :

sudo apt-get install certbot python3-certbot-nginx

Sur CentOS :

sudo yum install certbot python3-certbot-nginx
  1. Obtenir SSL certificate

Certbot prend en charge l'exécution automatique de la tâche d'obtention de certificats SSL Il vous suffit d'exécuter la commande suivante :

sudo certbot --nginx -d example.com

Parmi eux, le paramètre -d. est suivi par la nécessité d'obtenir le nom de domaine du certificat SSL. Certbot détectera automatiquement le fichier de configuration Nginx et configurera le certificat SSL sans modifier manuellement le fichier de configuration Nginx.

2. Configurez Nginx pour activer SSL

Après avoir obtenu le certificat SSL, vous devez activer SSL dans Nginx. La méthode de configuration est la suivante :

  1. Modifier le fichier de configuration Nginx

Ouvrez le fichier de configuration Nginx nginx.conf, trouvez le bloc http, et ajoutez le contenu suivant :

http {
    #其他http配置

    server {
        listen 443 ssl;
        server_name example.com;

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

        #其他配置
    }
}

Parmi eux, Listen 443 ssl signifie écouter les requêtes HTTPS, server_name configure le nom de domaine qui doit être surveillé, ssl_certificate spécifie la clé publique du certificat SSL et ssl_certificate_key spécifie la clé privée du certificat SSL.

  1. Redémarrer Nginx

Une fois la configuration terminée, vous devez redémarrer le service Nginx.

Sur Ubuntu :

sudo service nginx restart

Sur CentOS :

sudo systemctl restart nginx

3. Optimiser la configuration SSL

En plus de configurer SSL En plus des certificats, il existe d'autres mesures de sécurité qui peuvent améliorer la sécurité de SSL. Par exemple, la désactivation des protocoles non sécurisés, des suites de chiffrement, etc. peut être configurée dans le fichier de configuration Nginx.

Voici quelques optimisations de configuration SSL courantes :

  1. Désactiver SSLv2 et SSLv3 : SSLv2 et SSLv3 se sont avérés non sécurisés et doivent être désactivés. Ajoutez le code suivant dans le fichier de configuration Nginx :
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  1. Utilisez une suite de chiffrement forte : l'utilisation d'une suite de chiffrement plus puissante peut améliorer la sécurité de SSL. Ajoutez le code suivant au fichier de configuration Nginx :
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256;
  1. Activer l'agrafage OCSP : l'agrafage OCSP peut réduire les retards du réseau pendant le processus de négociation SSL et améliorer les performances et la sécurité SSL. Ajoutez le code suivant au fichier de configuration Nginx :
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;

4. Testez la sécurité SSL

Après avoir terminé la configuration SSL, vous pouvez utiliser le test de sécurité SSL en ligne. Les outils testent la sécurité SSL pour garantir l'exactitude et la sécurité de la configuration. Il est recommandé d'utiliser l'outil de test en ligne fourni par Qualys SSL Labs, qui peut tester de manière exhaustive la sécurité des serveurs HTTPS.

Grâce aux étapes ci-dessus, vous avez configuré avec succès la transmission sécurisée du certificat SSL dans Nginx, rendant votre site Web plus sécurisé et digne de confiance. Dans le même temps, il est également crucial de mettre à jour en permanence les stratégies de configuration SSL et de renforcer la sécurité SSL. J'espère que les lecteurs pourront devenir de plus en plus confiants dans la protection de la sécurité de leurs propres sites Web.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn