Nginx 服务器开启 SSL

Posted Linux无限探索

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Nginx 服务器开启 SSL相关的知识,希望对你有一定的参考价值。

众所周知为了提高网站的安全性,一般会在比较敏感的部分页面采用 https 传输,比如注册、登录、控制台等。像Gmail、网银等全部采用 https 传输。网站安装 SSL 证书最主要的好处是可以保障用户隐私信息安全,帮助用户识别钓鱼网站。且更利于网站 SEO 优化,例如谷歌,百度搜索引擎站在确保用户信息安全的角度,在搜索、展现、排序方面也给予部署了SSL证书网站优待。

购买 SSL 证书

既然要加密提高网站安全级别,那么选择一款性价比合适的 SSL 在所难免。SSL 证书购买途径有很多,也有一些是免费的,试过一些免费 SSL 证书但觉得续签麻烦,不太稳定,也不安全。国内 CA 机构 CFCA 中国金融认证中心 SSL 产品研发负责人也表示:网站管理人员及 CA 机构都应对免费证书持谨慎态度。因为付费的也不是很贵,就选了比较常用的 Comodo PositiveSSL,在 gogetssl 买比官网便宜不少。

我们以 gogetssl 家的 Comodo PositiveSSL 证书为例,记录 Nginx 配置安装 ssl 证书的过程,具体原理就不说了。

准备证书

首先需要购买证书,Comodo PositiveSSL,三年只要 9.65 美金。

购买完成后,邮件会得到几封邮件,其中包含 key 代码、证书压缩包等附件,解压之会得到 4 个文件。AddTrustExternalCARoot.crt、COMODORSAAddTrustCA.crt、COMODORSADomainValidationSecureServerCA.crt、www_91zll_net.crt,这就是我们要用到的证书了。

串联证书

执行合并命令生成新文件 ssl-bundle.crt

cat www_91zll_net.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt
生成私钥

将刚才gogetssl 发的邮件里的 key 代码,即 —–BEGIN PRIVATE KEY—– 和 —–END PRIVATE KEY—– 之间的代码(包含这两行)复制保存为 91zll_net.key 文件。利用 KEY私钥格式转换工具 来进行转换一下,从PKCS8 Key 转换为 RSA Key。

创建一个证书存放路径

mkdir -p /etc/ssl/private/

将前面生成的 91zll_net.key 和 ssl-bundle.crt 上传服务器,一般放在 /etc/ssl/private/ 目录下。

修改 Nginx 配置

下面是我 nginx 关于 ssl 部分的配置,因为要全局使用 https,故将 80 端口重定向到 https 下。

server 
    listen 80;
    server_name 91zll.ne www.91zll.net
    location / 
    rewrite (.*) https://www.91zll.net$1 permanent;
      

server 
    listen 443 ssl;
    server_name 91zll.net www.91zll.net;
    
    ssl on;
    ssl_certificate /etc/ssl/private/ssl-bundle.crt;
    ssl_certificate_key /etc/ssl/private/91zll_net.key;
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
    ssl_prefer_server_ciphers on;

具体参数的含义就不多说了,请自行google。使用前先测试一下。

nginx -t

检测没问题后,重启 nginx

 service nginx restart

原文来自:https://www.u22e.com/233.html

本文地址:https://www.linuxprobe.com/nginx-opens-ssl.html编辑:冯振华,审核员:逄增宝

本文原创地址:https://www.linuxprobe.com/nginx-opens-ssl.html

nginx开启ssl并把http重定向到https的两种方式

原文:nginx开启ssl并把http重定向到https的两种方式

1 简介

Nginx是一个非常强大和流行的高性能Web服务器。本文讲解Nginx如何整合https并将http重定向到https

https相关文章如下:

(1)Springboot整合https原来这么简单

(2)HTTPS之密钥知识与密钥工具Keytool和Keystore-Explorer

(3)Springboot以Tomcat为容器实现http重定向到https的两种方式

(4)Springboot以Jetty为容器实现http重定向到https

技术图片

Nginx的特点:

(1)热启动:例如当修改配置文件后,不需要停止与启动就可以让配置生效,命令如下:

nginx -s reload

(2)高并发连接:顶住10万以上连接是没有问题的。

(3)低内存消耗:在高性能的同时,保持很低的内存消耗;

(4)响应请求快;

(5)高可靠性。

Nginx可以做哪些事呢?最常用的功能为下面三个:

(1)静态HTTP服务器,实现动静态分离

(2)反向代理

(3)负载均衡

2 安装与使用

CentOS使用下面命令进行安装与使用:

# 添加 Nginx 源
rpm -Uvh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm

# 安装 Nginx
yum install -y nginx
# 启动 Nginx
systemctl start nginx.service
# 停止 Nginx
systemctl stop nginx.service
# 设置开机自启 Nginx
systemctl enable nginx.service
# 重新加载
nginx -s reload

Mac使用下面命令进行安装和使用:

# 查看是否有安装
brew info nginx
# 安装
brew install nginx
# 启动,默认端口为8080
nginx
# 停止
nginx -s stop
# 重新加载
nginx -s reload

安装完会有提供说明:
Docroot is: /usr/local/var/www

nginx will load all files in /usr/local/etc/nginx/servers/

就知道该在哪放网站资源和配置文件了。

3 整合https

3.1 生成密钥文件

先通过keytool生成PKCS12格式的密钥,然后通过openssl取出certkey,具体命令如下:

# 生成PKCS12格式的密钥文件
keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -storetype PKCS12 -keystore localhost.p12 -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit

# 导出pem(certificate)
openssl pkcs12 -nokeys -in ./localhost.p12 -out localhost.pem

# 导出key
openssl pkcs12 -nocerts -nodes -in ./localhost.p12 -out localhost.key

3.2 配置nginx.conf

新建一个nginx.conf文件,把它放在配置加载目录上。要把密钥文件路径配置上去,具体配置如下:

server {
    listen 443 ssl;
    server_name localhost;
    
    ssl_certificate /key-path/localhost.pem;
    ssl_certificate_key /key-path/localhost.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;  
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on; 

    location / {
        proxy_set_header HOST $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        proxy_pass http://127.0.0.1:8000/;
    }
}

记得要替换key-path为具体的密钥文件的路径。

ssl_certificate:这个配置的是cert文件。

ssl_certificate_key:这个配置的是private key文件。

proxy_pass http://127.0.0.1:8000/:这个作用是把请求反向代理到这个地址上。

4 开启http并重定向到https

4.1 开启http

开启http很简单,直接把listen 80;加到listen 443 ssl;上面去就可以了。或者新加一个server配置,如下:

server {
    listen 443 ssl;
    server_name localhost;
    
    ssl_certificate /key-path/localhost.pem;
    ssl_certificate_key /key-path/localhost.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;  
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on; 

    location / {
        proxy_set_header HOST $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        proxy_pass http://127.0.0.1:8000/;
    }
}

server {
    listen 80;
    server_name localhost;

    location / {
        proxy_set_header HOST $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        proxy_pass http://127.0.0.1:8000/;
    }
}

4.2 重定向到https的两种方式

要把http重定向到https也很简单,具体可以使用两种配置来实现。

第一种方式使用return 301如下:

server {
    listen 80;
    server_name localhost;
    return 301 https://127.0.0.1$request_uri;
}

第二种方式使用rewrite如下:

server {
    listen 80;
    server_name localhost;
    rewrite ^(.*)$ https://$host$1 permanent;
}

对于returnrewrite的区别,可以阅读这篇文章:Creating NGINX Rewrite Rules

5 总结

最后,介绍一个工具,可以快速方便获得nginx的配置:Nginx Config


欢迎访问南瓜慢说 www.pkslow.com获取更多精彩文章!

欢迎关注微信公众号<南瓜慢说>,将持续为你更新...

技术图片

多读书,多分享;多写作,多整理。

以上是关于Nginx 服务器开启 SSL的主要内容,如果未能解决你的问题,请参考以下文章

nginx如何开启https协议

nginx开启ssl并把http重定向到https的两种方式

开启nginx加密模块ssl

Nginx开启https(SSL安全)

nginx如果未开启SSL模块,配置https时提示错误

Nginx服务器上安装SSL证书