Rumah > Operasi dan penyelenggaraan > Nginx > Bagaimana untuk mengkonfigurasi pelayan Nginx https

Bagaimana untuk mengkonfigurasi pelayan Nginx https

WBOY
Lepaskan: 2023-05-23 11:01:06
ke hadapan
1583 orang telah melayarinya

Mohon sijil

Pada masa ini terdapat banyak organisasi dalam talian yang menyediakan sijil ssl percuma peribadi, dengan tempoh sah antara beberapa bulan hingga beberapa tahun. Ambil startssl: https://www.startssl.com sebagai contoh Selepas permohonan berjaya, ia akan sah selama 3 tahun dan boleh diperbaharui secara percuma selepas tamat tempoh.

Proses permohonan khusus juga sangat mudah.

Selepas mendaftar dan log masuk, pilih wizard sijil >> sijil dv ssl untuk memohon sijil ssl percuma.

Selepas mengesahkan nama domain melalui e-mel, kemudian jana csr sijil ssl dalam pelayan anda sendiri Ingat rahsia input yang dihasilkan Anda akan menggunakannya kemudian:

openssl req -newkey rsa:2048 -keyout weizhimiao.cn.key -out weizhimiao.cn.csr
Salin selepas log masuk

akan menjana Sijil diletakkan dalam direktori yang ditentukan di mana sijil disimpan, seperti /data/secret/. Lihat kandungan sijil weizhimiao.csr, salin kandungan ke bahagian permintaan menandatangani sijil (csr) halaman dan serahkan halaman tersebut.

Muat turun sijil yang dijana dan pilih pelayan web yang sepadan (nginx, 1_weizhimiao.cn_bundle.crt), supaya kami mempunyai kedua-dua kunci persendirian dan kunci awam.

  • 1_weizhimiao.cn_bundle.crt (kunci awam)

  • weizhimiao.cn.key (kunci peribadi)

konfigurasi nginx (tambah https untuk nama domain yang ditentukan)

konfigurasi semasa nginx.conf

...
http {
 ...
 include /etc/nginx/conf.d/*.conf;

 server {
  ...
 }
}
Salin selepas log masuk

./conf.d/weizhimiao.cn.conf tambah

server{
 listen 443 ssl;
 server_name weizhimiao.cn;

 ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
 ssl_certificate_key /data/secret/weizhimiao.cn.key;
 ssl_prefer_server_ciphers on;
 ssl_protocols tlsv1 tlsv1.1 tlsv1.2;

 ssl_ciphers 'keecdh+ecdsa+aes128 keecdh+ecdsa+aes256 keecdh+aes128 keecdh+aes256 kedh+aes128 kedh+aes256 des-cbc3-sha +sha !anull !enull !low !md5 !exp !dss !psk !srp !kecdh !camellia !rc4 !seed';

 add_header strict-transport-security 'max-age=31536000; preload';
 add_header x-frame-options deny;
 ssl_session_cache shared:ssl:10m;
 ssl_session_timeout 10m;
 keepalive_timeout 70;
 ssl_dhparam /data/secret/dhparam.pem;

 add_header x-content-type-options nosniff;

 add_header x-xss-protection 1;

 root /data/www/weizhimiao.cn;
 index index.html;

 location / {

 }
}
Salin selepas log masuk

Nota: Konfigurasi

menggunakan fail /data/secret/dhparam.pem, iaitu fail utama dalam format pem dan digunakan dalam sesi tls. Digunakan untuk meningkatkan keselamatan ssl. Kaedah untuk menjana fail ini,

cd /data/secret/
openssl dhparam 2048 -out dhparam.pem
Salin selepas log masuk

akan mengubah hala akses asal ke port 80. Tambahkan

server{
 listen 80;
 server_name weizhimiao.cn;
 return 301 https://weizhimiao.cn$request_uri;
}
Salin selepas log masuk

ujian

ke ./conf.d/weizhimiao.cn.conf untuk mengesan sama ada terdapat ralat sintaks dalam fail konfigurasi Anda perlu memasukkan input sebelumnya semasa menjana kata laluan awam.

nginx -t
enter pem pass phrase:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
Salin selepas log masuk

Mulakan semula nginx (ingat, muat semula tidak berfungsi)

nginx -s stop
enter pem pass phrase:
nginx
enter pem pass phrase:
Salin selepas log masuk

Lawati weizhimiao.cn dengan penyemak imbas untuk melihat sama ada ia berkuat kuasa.

Selain itu, selepas nginx dikonfigurasikan dengan sijil keselamatan, nginx memerlukan kata laluan untuk setiap muat semula, berhenti dan operasi lain.

Anda boleh menjana fail kunci yang dinyahsulit untuk menggantikan fail kunci asal.

cd /data/secret/
openssl rsa -in weizhimiao.cn.key -out weizhimiao.cn.key.unsecure
Salin selepas log masuk

menggantikan fail weizhimiao.cn.conf dalam weizhimiao.cn.key Selepas

server {
 ...
 ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
 ssl_certificate_key /data/secret/weizhimiao.cn.key.unsecure;
 ...
}
Salin selepas log masuk

, anda tidak perlu memasukkan kata laluan setiap kali anda memuat semula.

Akhir sekali, gunakan ssllabs untuk menguji.

Bagaimana untuk mengkonfigurasi pelayan Nginx https

Keputusan

Bagaimana untuk mengkonfigurasi pelayan Nginx https

Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi pelayan Nginx https. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Label berkaitan:
sumber:yisu.com
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan