Bagaimana untuk mengkonfigurasi ssl dalam nginx

Contoh konfigurasi SSL sehala:

server{
    listen 443 ssl;
    server_name www.123.com;
    root /data/wwwroot/www.123.com/ ;
    index index.html ;
    ssl_certificate server.crt;
    ssl_certificate_key server.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
    ssl_prefer_server_ciphers on;
    location / {
    }
}

Arahan konfigurasi:

1. 443端口为ssl监听端口。
2. ssl on表示打开ssl支持。
3. ssl_certificate指定crt文件所在路径，如果写相对路径，必须把该文件和nginx.conf文件放到一个目录下。
4. ssl_certificate_key指定key文件所在路径。
5. ssl_protocols指定SSL协议。
6. ssl_ciphers配置ssl加密算法，多个算法用:分隔，ALL表示全部算法，!表示不启用该算法，+表示将该算法排到最后面去。
7. ssl_prefer_server_ciphers 如果不指定默认为off，当为on时，在使用SSLv3和TLS协议时，服务器加密算法将优于客户端加密算法。

Nota:

nginx tidak didayakan secara lalai semasa kod sumber pemasangan Modul ssl perlu disusun semula dan dipasang Arahan pemasangan adalah seperti berikut:

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

make && make install

Kemudian mulakan semula nginx

Contoh konfigurasi SSL dwi talian

server{
    listen 443 ssl;
    server_name www.123.com;
    root /data/wwwroot/www.123.com/ ;
    index index.html ;
    ssl_certificate server.crt;
    ssl_certificate_key server.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
    ssl_prefer_server_ciphers on;
    ssl_client_certificate ca.crt; //这里的ca.crt是根证书公钥文件    ssl_verify_client on;
    location / {
    }
}

Arahan:

Terdapat dua lagi baris dalam huruf tebal daripada sehala, tetapi selepas dua hala dikonfigurasikan, pelayan juga akan mengesahkan sijil pelanggan Dalam keadaan biasa, SSL sehala kami adalah lebih biasa digunakan.

Nota:

Oleh kerana sijil kami adalah sijil yang dikeluarkan oleh CA yang dibina sendiri, penyemak imbas tidak mempercayai sijil, jadi apabila mengakses, ia akan menggesa " Sijil tidak sah" Dipercayai".

Dalam kes ini, anda hanya perlu mengimport sijil akar CA ke dalam "Pihak Berkuasa Pensijilan Root Dipercayai" penyemak imbas untuk mengelakkan gesaan "Sijil Tidak Dipercayai".

Cara untuk mengeksport sijil yang tersedia untuk windows adalah seperti berikut:

[root@localhost root_ca]# openssl pkcs12 -export -inkey private/ca.key -in

Salin sijil yang dieksport ke tingkap, klik dua kali untuk memasang dan ikut wizard untuk mengimportnya ke "Trusted Root Pihak Berkuasa Pensijilan".

Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi ssl dalam nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!