nginx 配置 https

技术分享  / 倒序浏览   ©

#楼主# 2020-2-14

跳转到指定楼层

马上注册,分享更多源码,享用更多功能,让你轻松玩转云大陆。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
安装 nginx
有可能你当前已经通过apt-getyum等命令安装了,但是可能不支持 https http2 ipv6 等功能。
查看当前版本配置
我们可以通过nginx -V命令来查看版本以及支持的配置。
下面这以 ubuntu 为例,卸载安装 nginx
卸载
# 移除 nginx$ apt-get --purge remove nginx# 查询 nginx 依赖的包,会列出来$ dpkg --get-selections|grep nginx# 移除上面列出的包,比方 nginx-common$ apt-get --purge remove nginx-common# 也可以执行 autoremove ,会自动删除不需要的包$ apt-get autoremove# 查询 nginx 相关的文件,删掉就可以了$ sudo find / -name nginx*复制代码
安装
安装依赖库
# gcc g++apt-get install build-essentialapt-get install libtool# pcresudo apt-get install libpcre3 libpcre3-dev# zlibapt-get install zlib1g-dev# sslapt-get install opensslapt-get install libssl-dev复制代码
安装 nginx
到nginx download上找到最新的nginx 版本
# 下载$ wget https://nginx.org/download/nginx-1.17.8.tar.gz# 解压$ tar -zxvf nginx-1.17.8.tar.gz# 进入目录$ cd nginx-1.17.8# 配置,这里可能会报错,缺少啥就去安装啥$ ./configure --prefix=/usr/local/nginx \--with-http_gzip_static_module \--with-http_v2_module \--with-pcre \--with-http_ssl_module# 编译,这里可能会报错,缺少啥就去安装啥$ make# 安装$ make install# 通过软连接,这样就可以直接使用 nginx 执行$ sudo ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx复制代码
SSL 证书
SSL 证书通常需要购买,也有免费的,通过第三方 SSL 证书机构颁发。你也可以在云服务商上购买,但是一般免费的 ssl 证书只能支持单个域名。
这里推荐Let’s Encrypt机构,然后使用acme.sh从 letsencrypt 生成免费的证书,且可以生成泛域名证书。
参考acme.sh 中文 wiki、使用 acme.sh 部署 Let's Encrypt 通过阿里云 DNS 验证方式实现泛域名 HTTPS
上面的两篇文章讲的很具体了,不再赘述。
PS:
发起使用 DNS 验证
--dns dns_ali是根据差别服务商来的,dns_ali就是指阿里云。其他服务商的参考How to use DNS API。
证书生成后,默认在~/.acme.sh/目录下,这里的文件是内部使用的,需要使用--installcert命令指定到目标位置
这里将证书放到了 nginx 的 conf 目录下。.../conf/ssl/...
配置 http
http 基础配置
http 的配置很简朴,配置如下,我们先让网站可以访问起来。
server{listen80;server_namewangsijie.top www.wangsijie.top;location/ {root/var/www/main;indexindex.html;    }}复制代码
使用http://访问,就会如下显示
配置 httpsHttps 基础配置
server{listen443ssl;server_namewangsijie.top www.wangsijie.top;# 证书文件,这里使用了 fullchain.cer 通过 acme.sh 生成的泛域名证书ssl_certificatessl/fullchain.cer;# 私钥文件ssl_certificate_keyssl/wangsijie.top.key;location/ {root/var/www/main;indexindex.html;}}复制代码
重启后,以https://开头访问你的网站,就会发现
修改 http 配置
但是用http://访问,仍旧显示连接不安全,我们需要修改配置,当访问 http 时会重定向到 https 如下
server{listen80;server_namewangsijie.top www.wangsijie.top;return301https://$server_name$request_uri;}复制代码
这时再用http://访问,就会重定向到https://
PS:
网上也有许多使用rewrite来重定向,但是return指令简朴高效,发起尽量使用return
完整配置
server{listen80;server_namewangsijie.top www.wangsijie.top;return301https://$server_name$request_uri;}server{listen443ssl;server_namewangsijie.top www.wangsijie.top;ssl_certificatessl/fullchain.cer;ssl_certificate_keyssl/wangsijie.top.key;location/ {root/var/www/main;indexindex.html;}}复制代码
混合配置
server{listen80;listen443ssl;server_namewangsijie.top www.wangsijie.top;ssl_certificatessl/fullchain.cer;ssl_certificate_keyssl/wangsijie.top.key;location/ {root/var/www/main;indexindex.html;}}复制代码
https 安全
加密套件
https 默认采用 SHA-1 算法,非常脆弱。我们可以使用迪菲-赫尔曼密钥交换。
我们在/conf/ssl目录下生成dhparam.pem文件
openssl dhparam -out dhparam.pem2048复制代码
下面的指令ssl_protocols和ssl_ciphers是用来限制连接只包罗 SSL/TLS 的加強版本和算法。
# 优先采取服务器算法ssl_prefer_server_cipherson;# 使用 DH 文件ssl_dhparamssl/dhparam.pem;# 协议版本ssl_protocolsTLSv1 TLSv1.1TLSv1.2;# 定义算法ssl_ciphersEECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;复制代码
安全的响应头
# 启用 HSTS 。答应 https 网站要求浏览器总是通过 https 来访问add_headerStrict-Transport-Security"max-age=31536000; includeSubDomains;preload"always;# 减少点击劫持add_headerX-Frame-Options DENY;# 禁止服务器自动解析资源类型add_headerX-Content-Type-Options nosniff;# 防XSS攻擊add_headerX-Xss-Protection1;复制代码
服务器优化
# 配置共享会话缓存大小ssl_session_cacheshared:SSL:10m;# 配置会话超时时间ssl_session_timeout10m;复制代码
http2 配置
http2 配置很简朴,只要后面增加 http2。
下面[::]:表示 ipv6 的配置,不需要可以不加那一行
listen80;listen[::]:80;listen443ssl http2;listen[::]:443ssl http2;复制代码
重启 nginx 后,你可以在这个网站上tools.keycdn.com/http2-test测试http2有没有配置成功。
最后
完整配置
server{listen80;listen[::]:80;listen443ssl http2;listen[::]:443ssl http2;server_namewangsijie.top www.wangsijie.top;ssl_certificatessl/fullchain.cer;ssl_certificate_keyssl/wangsijie.top.key;ssl_session_cacheshared:SSL:10m;ssl_session_timeout10m;ssl_prefer_server_cipherson;ssl_dhparamssl/dhparam.pem;ssl_protocolsTLSv1 TLSv1.1TLSv1.2;ssl_ciphersEECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;add_headerStrict-Transport-Security"max-age=31536000; includeSubDomains; preload"always;add_headerX-Frame-Options DENY;add_headerX-Content-Type-Options nosniff;add_headerX-Xss-Protection1;location/ {root/var/www/main;indexindex.html;    }}复制代码
配置文件优化
为了让更多的二级域名支持上面的功能,每个 server 都这么写太过于繁琐。
可以将 listen 443 、ssl、add_header 相关的单独写在一个文件上,然后使用inculde指令。
如下:其他的配置都放在了conf.d/https-base.conf中
server{listen8099;listen[::]:8099;server_nametest.wangsijie.top;includeconf.d/https-base.conf;location/ {root/var/www/test;indexindex.html;    }}复制代码
以上就完成了 https 的配置,愉快的访问你的网站吧。
访问流程:https://www.jianshu.com/u/e28738bcfd2b
分享淘帖
回复

使用道具

您的回复是对作者最大的奖励

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于作者

91泡泡鱼

新手猿

  • 主题

    7

  • 帖子

    7

  • 关注者

    0

Archiver|手机版|小黑屋|云大陆 | 赣ICP备18008958号-4|网站地图
Powered by vrarz.com!  © 2019-2020版权所有云大陆