Nginx服务器证书部署

教程 作者:技术栈 2021-05-11 17:55:24 阅读:1798

依赖建议

l  SSL卸载驱动。建议:openssl版本1.1.0f+。

l  nginx版本Stable version:最新稳定版,生产环境上建议使用的版本。

获取证书

  • MPKI方式:

1.   登录https://mpki.trustasia.com。

2.   证书下载pem(nginx SLB)格式,会得到一个zip的压缩包,解压后有两个文件,分别是crt和key后缀。

  • 非MPKI方式:

1.  CSR对应的key文件

2.  证书邮件里提取代码,把-----BEGIN CERTIFICATE-----到-----END CERTIFICATE-----(包括开头和结尾,不用换行)复制到txt文本文件里,然后保存为crt后缀;这样也就获取到nginx用的2个文件了。

SSL相关配置

到nginx的conf目录,找到nginx.conf文件,修改或者配置这样一段

server {    listen 80 default_server;    listen [::]:80 default_server;    # 强制跳转    return 301 https://$host$request_uri;} server {    listen 443 ssl http2;    listen [::]:443 ssl http2;   #IPv6支持     #RSA证书    ssl_certificate /xxx/xx/rsa.pem;    ssl_certificate_key /xxx/xx/rsa.key;    #ECC证书,可选,需要1.11版本支持    ssl_certificate /xxx/xx/ecc.pem;;    ssl_certificate_key /xxx/xx/ecc.key;;    ssl_session_timeout 1d;    ssl_session_cache shared:SSL:50m;    ssl_session_tickets off;    # A+级配置.    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';    ssl_prefer_server_ciphers on;    # HSTS (需要编译带ngx_http_headers_module模块) (15768000 秒= 6 月)    add_header Strict-Transport-Security max-age=15768000;    # OCSP Stapling 装订    ssl_stapling on;    ssl_stapling_verify on;}

下面为配置文件参数说明:

listen 443


SSL访问端口号为443

ssl       on

启用SSL功能

ssl_certificate

证书文件server.crt

ssl_certificate_key

私钥文件server.pem

ssl_protocols

使用的协议

ssl_ciphers

配置加密套件,写法遵循openssl标准

配置完成后,先用sbin/nginx –t来测试下配置是否有误,正确无误的话,建议重启nginx。

http跳转https(建议而非强制)

对于用户,不是不知道https,就是知道https也因为懒,不愿意输入https。这样就有一个需求,让服务器自动把http的请求重定向到https。

在服务器这边的话配置的话,可以在页面里加js脚本,也可以在后端程序里写重定向,当然也可以在web服务器来实现跳转。Nginx是支持rewrite的(只要在编译的时候没有去掉pcre)

在http的server里

增加

return 301 https://$host$request_uri;

或者

rewrite   ^(.*) https://$host$1 permanent;

这样就可以实现80进来的请求,重定向为https了


检测

https的端口没做限制后(防火墙放行,端口转发正常),到https://myssl.com进行检测


评级达到B以上,在安全和兼容方面是较不错的。


延伸阅读
  • Apple提议将SSL证书有效期缩短为45天

    SSL/TLS证书的有效期一直在缩短。2017年,证书的最大有效期从1185天(约39个月)缩短到825天(约27个月),当时人们认为这是SSL证书发展中的一大转变。而在接下来的几年里,证书的有效期还

  • Go语言的数据加密和安全传输

    在Go语言中提供数据加密和安全传输,有几种主要的方法:使用SSL/TLS实现安全传输、使用HTTPS协议、使用HTTP/2进行安全传输、使用加密算法例如AES和RSA来加密信息。其中,SSL/TLS(

  • GoGetSSL产品介绍及简介

    GoGetSSL是一个平台,您可以在该平台上以极低的价格从多个不同的证书颁发机构购买各种SSL证书。 在本文中,我将帮助您了解什么是SSL证书以及如何为您的企业选择正确的GoGetSSL证书。1.对证

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接