Nginx服務器https如何配置
今天小編給大家分享一下Nginx服務器https如何配置的相關知識點�,內容詳細�����,邏輯清晰����,相信大部分人都還太了解這方面的知識�,所以分享這篇文章給大家參考一下����,希望大家閱讀完這篇文章后有所收獲��,下面我們一起來了解一下吧����。
申請證書
目前網上有不少機構提供個人免費 ssl 證書�,有效期幾個月到幾年不等����。以 startssl :https://www.startssl.com 為例, 申請成功后有效期 3 年���,到期后可免費續租�����。
具體申請過程也很簡單����。
注冊登錄以后選擇 certificates wizard >> dv ssl certificate 申請一個免費的 ssl 證書���。
通過郵件驗證域名之后���,然后在自己服務器中生成 ssl 證書的 csr ��, 記住生成輸入的秘密 �,之后要用到:
openssl req -newkey rsa:2048 -keyout weizhimiao.cn.key -out weizhimiao.cn.csr
將生成的證書�����,放到指定的存放證書的目錄���,如 /data/secret/ ����。查看證書 weizhimiao.csr 內容����,將內容復制到頁面中的 certificate signing request (csr)部分��,提交頁面��。
下載生成好的證書,選擇對應的web服務器(nginx���,1_weizhimiao.cn_bundle.crt)���,這樣私鑰和公鑰我們就都有了�����。
nginx配置(為指定域名增加https)
nginx.conf當前配置
...
http {
...
include /etc/nginx/conf.d/*.conf;
server {
...
}
}./conf.d/weizhimiao.cn.conf中加入
server{
listen 443 ssl;
server_name weizhimiao.cn;
ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
ssl_certificate_key /data/secret/weizhimiao.cn.key;
ssl_prefer_server_ciphers on;
ssl_protocols tlsv1 tlsv1.1 tlsv1.2;
ssl_ciphers 'keecdh+ecdsa+aes128 keecdh+ecdsa+aes256 keecdh+aes128 keecdh+aes256 kedh+aes128 kedh+aes256 des-cbc3-sha +sha !anull !enull !low !md5 !exp !dss !psk !srp !kecdh !camellia !rc4 !seed';
add_header strict-transport-security 'max-age=31536000; preload';
add_header x-frame-options deny;
ssl_session_cache shared:ssl:10m;
ssl_session_timeout 10m;
keepalive_timeout 70;
ssl_dhparam /data/secret/dhparam.pem;
add_header x-content-type-options nosniff;
add_header x-xss-protection 1;
root /data/www/weizhimiao.cn;
index index.html;
location / {
}
}注:
配置中用到一個 /data/secret/dhparam.pem 文件����,該文件是一個pem格式的密鑰文件����,用于tls會話中�����。用來加強ssl的安全性����。生成該文件方法����,
cd /data/secret/
openssl dhparam 2048 -out dhparam.pem
將原來80端口的訪問�,重定向���。./conf.d/weizhimiao.cn.conf中加入
server{
listen 80;
server_name weizhimiao.cn;
return 301 https://weizhimiao.cn$request_uri;
}測試
檢測配置文件是否有語法錯誤��,需要輸入之前生成公鑰時輸入的密碼��。
nginx -t
enter pem pass phrase:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
重啟nginx(切記��,reload不起作用)
nginx -s stop
enter pem pass phrase:
nginx
enter pem pass phrase:
瀏覽器訪問 weizhimiao.cn ,是否生效����。
另�,nginx配置了安全證書之后���,nginx每次的reload����、stop等操作都需要輸入密碼��。
可以通過生成一個解密的key文件��,替代原來key文件���。
cd /data/secret/
openssl rsa -in weizhimiao.cn.key -out weizhimiao.cn.key.unsecure
替換 weizhimiao.cn.conf 中的 weizhimiao.cn.key 文件.
server {
...
ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
ssl_certificate_key /data/secret/weizhimiao.cn.key.unsecure;
...
}之后每次在reload時���,就不需要在輸入密碼了���。
最后��,用 ssllabs 來進行一下測試����。
結果
以上就是“Nginx服務器https如何配置”這篇文章的所有內容�,感謝各位的閱讀���!相信大家閱讀完這篇文章都有很大的收獲�����,小編每天都會為大家更新不同的知識��,如果還想學習更多的知識�����,請關注億速云行業資訊頻道��。
