首頁  >  文章  >  運維  >  Nginx伺服器https如何配置

Nginx伺服器https如何配置

WBOY
WBOY轉載
2023-05-23 11:01:061564瀏覽

申請證書

目前網路上有不少機構提供個人免費 ssl 證書,有效期限幾個月到幾年不等。以 startssl :https://www.startssl.com 為例, 申請成功後有效期限 3 年,到期後可免費續約。

具體申請過程也很簡單。

註冊登入以後選擇 certificates wizard >> dv ssl certificate 申請免費的 ssl 憑證。

透過郵件驗證網域之後,然後在自己伺服器中產生ssl 憑證的csr , 記得產生輸入的秘密 ,之後要用到:

openssl req -newkey rsa:2048 -keyout weizhimiao.cn.key -out weizhimiao.cn.csr

將生成的證書,放到指定的存放證書的目錄,如 /data/secret/ 。查看憑證 weizhimiao.csr 內容,將內容複製到頁面中的 certificate signing request (csr)部分,提交頁面。

下載產生好的憑證,選擇對應的網頁伺服器(nginx,1_weizhimiao.cn_bundle.crt),這樣私鑰和公鑰我們就都有了。

  • 1_weizhimiao.cn_bundle.crt(公鑰)

  • weizhimiao.cn.key(私鑰)

nginx配置(為指定網域增加https)

nginx.conf目前設定

...
http {
 ...
 include /etc/nginx/conf.d/*.conf;

 server {
  ...
 }
}

./conf.d/weizhimiao.cn.conf中加入

server{
 listen 443 ssl;
 server_name weizhimiao.cn;

 ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
 ssl_certificate_key /data/secret/weizhimiao.cn.key;
 ssl_prefer_server_ciphers on;
 ssl_protocols tlsv1 tlsv1.1 tlsv1.2;

 ssl_ciphers 'keecdh+ecdsa+aes128 keecdh+ecdsa+aes256 keecdh+aes128 keecdh+aes256 kedh+aes128 kedh+aes256 des-cbc3-sha +sha !anull !enull !low !md5 !exp !dss !psk !srp !kecdh !camellia !rc4 !seed';

 add_header strict-transport-security 'max-age=31536000; preload';
 add_header x-frame-options deny;
 ssl_session_cache shared:ssl:10m;
 ssl_session_timeout 10m;
 keepalive_timeout 70;
 ssl_dhparam /data/secret/dhparam.pem;

 add_header x-content-type-options nosniff;

 add_header x-xss-protection 1;

 root /data/www/weizhimiao.cn;
 index index.html;

 location / {

 }
}

#:

設定中用到一個 /data/secret/dhparam.pem 文件,該文件是一個pem格式的密鑰文件,用於tls會話中。用來加強ssl的安全性。產生該檔案方法,

cd /data/secret/
openssl dhparam 2048 -out dhparam.pem

將原來80埠的訪問,重定向。 ./conf.d/weizhimiao.cn.conf中加入

server{
 listen 80;
 server_name weizhimiao.cn;
 return 301 https://weizhimiao.cn$request_uri;
}

測試

偵測設定檔是否有語法錯誤,需要輸入先前產生公鑰時輸入的密碼。

nginx -t
enter pem pass phrase:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

重啟nginx(切記,reload不起作用)

nginx -s stop
enter pem pass phrase:
nginx
enter pem pass phrase:

瀏覽器存取 weizhimiao.cn ,是否生效。

另,nginx設定了安全性憑證之後,nginx每次的reload、stop等操作都需要輸入密碼。

可以透過產生一個解密的key文件,取代原來key檔。

cd /data/secret/
openssl rsa -in weizhimiao.cn.key -out weizhimiao.cn.key.unsecure

替換 weizhimiao.cn.conf 中的 weizhimiao.cn.key 檔案.

server {
 ...
 ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
 ssl_certificate_key /data/secret/weizhimiao.cn.key.unsecure;
 ...
}

之後每次在reload時,就不需要在輸入密碼了。

最後,用 ssllabs 來進行測試。

Nginx伺服器https如何配置

結果

Nginx伺服器https如何配置

#

以上是Nginx伺服器https如何配置的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:yisu.com。如有侵權,請聯絡admin@php.cn刪除