Nginx服务器https配置的方法示例

Linux:Linux version 3.10.0-123.9.3.el7.x86_64

Nginx:nginx/1.6.3

openssl:1.0.1e

申请证书

目前网上有不少机构提供个人免费 ssl 证书,有效期几个月到几年不等。以 StartSSL :https://www.startssl.com为例, 申请成功后有效期 3 年,到期后可免费续租。

具体申请过程也很简单。

注册登录以后选择 Certificates Wizard >> DV SSL Certificate 申请一个免费的 ssl 证书。

通过邮件验证域名之后,然后在自己服务器中生成 SSL 证书的 csr , 记住生成输入的秘密 ,之后要用到:

openssl req -newkey rsa:2048 -keyout weizhimiao.cn.key -out weizhimiao.cn.csr

将生成的证书,放到指定的存放证书的目录,如 /data/secret/ 。查看证书 weizhimiao.csr 内容,将内容复制到页面中的 Certificate Signing Request (CSR)部分,提交页面。

下载生成好的证书,选择对应的web服务器(Nginx,1_weizhimiao.cn_bundle.crt),这样私钥和公钥我们就都有了。

  • 1_weizhimiao.cn_bundle.crt(公钥)
  • weizhimiao.cn.key(私钥)

nginx配置(为指定域名增加https)

nginx.conf当前配置

...
http {
 ...
 include /etc/nginx/conf.d/*.conf;

 server {
  ...
 }
}

./conf.d/weizhimiao.cn.conf中加入

server{
 listen 443 ssl;
 server_name weizhimiao.cn;

 ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
 ssl_certificate_key /data/secret/weizhimiao.cn.key;
 ssl_prefer_server_ciphers on;
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

 ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA !aNULL !eNULL !LOW !MD5 !EXP !DSS !PSK !SRP !kECDH !CAMELLIA !RC4 !SEED';

 add_header Strict-Transport-Security 'max-age=31536000; preload';
 add_header X-Frame-Options DENY;
 ssl_session_cache shared:SSL:10m;
 ssl_session_timeout 10m;
 keepalive_timeout 70;
 ssl_dhparam /data/secret/dhparam.pem;

 add_header X-Content-Type-Options nosniff;

 add_header X-Xss-Protection 1;

 root /data/www/weizhimiao.cn;
 index index.html;

 location / {

 }
}

注:

配置中用到一个 /data/secret/dhparam.pem 文件,该文件是一个PEM格式的密钥文件,用于TLS会话中。用来加强ssl的安全性。生成该文件方法,

cd /data/secret/
openssl dhparam 2048 -out dhparam.pem

将原来80端口的访问,重定向。./conf.d/weizhimiao.cn.conf中加入

server{
 listen 80;
 server_name weizhimiao.cn;
 return 301 https://weizhimiao.cn$request_uri;
}

测试

检测配置文件是否有语法错误,需要输入之前生成公钥时输入的密码。

nginx -t
Enter PEM pass phrase:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

重启Nginx(切记,reload不起作用)

nginx -s stop
Enter PEM pass phrase:
nginx
Enter PEM pass phrase:

浏览器访问 weizhimiao.cn ,是否生效。

另,Nginx配置了安全证书之后,nginx每次的reload、stop等操作都需要输入密码。

可以通过生成一个解密的key文件,替代原来key文件。

cd /data/secret/
openssl rsa -in weizhimiao.cn.key -out weizhimiao.cn.key.unsecure

替换 weizhimiao.cn.conf 中的 weizhimiao.cn.key 文件.

server {
 ...
 ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
 ssl_certificate_key /data/secret/weizhimiao.cn.key.unsecure;
 ...
}

之后每次在reload时,就不需要在输入密码了。

最后,用 SSLLABS来进行一下测试。

结果

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • nginx http重定向https配置说明

    nginx http重定向https配置说明 现在什么苹果,谷歌浏览器请求地扯基本都要求使用https了,如何把原来的http协议重定向到https中呢,这里我们可以使用http反向代理软件nginx. 使用 安装 yum install nginx -y 配置 cat /etc/nginx server { listen 80; server_name dounine.com www.dounine.com; return 301 https://www.dounine.com$request

  • Nginx服务器https配置的方法示例

    Linux:Linux version 3.10.0-123.9.3.el7.x86_64 Nginx:nginx/1.6.3 openssl:1.0.1e 申请证书 目前网上有不少机构提供个人免费 ssl 证书,有效期几个月到几年不等.以 StartSSL :https://www.startssl.com为例, 申请成功后有效期 3 年,到期后可免费续租. 具体申请过程也很简单. 注册登录以后选择 Certificates Wizard >> DV SSL Certificate 申请一个

  • nginx实现动静分离的方法示例

    目录 在server1上部署nginx 在server上部署lnmp node3部署httpd 实现分离部署 本文主要介绍了nginx实现动静分离的方法示例,具有一定的学习价值,具体如下 环境: 系统/主机名 IP地址 服务 Redhat8 :server1 192.168.244.131 nginx Redhat8:server2 192.168.244.133 lnmp Content7:node3 192.168.244.142 httpd 在三台主机上关闭防火墙 [root@server

  • 解决Nginx端口冲突的排查方法示例

    问题描述 一个Spring + Angular前后端分离的项目,使用Nginx进行数据转发. Nginx监听端口8100,前台端口4200,后台端口8080. 像往常一样,提前配置好MySQL.配置好Redis,引入项目的Nginx配置文件,然后启动前台.后台,成功. 接下来出现了问题:前台发起的请求,只有极少数能被后台接收到,大部分都是404,随着在浏览器中的点击,控制台不断的出现404. 如果只是404,那问题就很简单,很大可能是Nginx端口转发设置错了.但它的神奇之处就在于,还有那么几次

  • 在phpstudy集成环境下的nginx服务器下配置url重写

    直接在对应的vhosts.conf配置文件的location / {}中添加以下内容: location / { index index.html index.htm index.php; #autoindex on; if (!-e $request_filename) { rewrite ^(.*)$ /index.php?s=/$1 last; break; } 具体操作过程如下: 1.找到对应的vhosts.conf配置文件 2.选择所需要配置重写url的站点 总结 以上所述是小编给大家

  • idea快速生成代码配置的方法示例

    前言 这里是用的goland idea,实际上这个idea和 intellij idea的配置是一样的,并没有太大区别, 开整 1.进入 File->settings->Editor->Live Templates 2.添加模板组 点击右上角的绿色+号,然后选择template group ,然后输入group的name,这个名字你随便起,我的是:my.然后点ok 属于你自己的组就创建好了 3. 添加模板 选中刚才创建的myGroup,然后再次点击右侧的绿色+,这次选择的是第一个1. L

  • 详解Nginx服务器中配置全站HTTPS安全连接的方法

    HTTPS就等于HTTP加上TLS(SSL),HTTPS协议的目标主要有三个: 数据保密性.保证内容在传输过程中不会被第三方查看到.就像快递员传递包裹时都进行了封装,别人无法知道里面装了什么东西.     数据完整性.及时发现被第三方篡改的传输内容.就像快递员虽然不知道包裹里装了什么东西,但他有可能中途掉包,数据完整性就是指如果被掉包,我们能轻松发现并拒收.     身份校验.保证数据到达用户期望的目的地.就像我们邮寄包裹时,虽然是一个封装好的未掉包的包裹,但必须确定这个包裹不会送错地方. 启用

  • 详解Nginx服务器中配置超时时间的方法

    一.啥时候用到 用来设置请求资源和服务器返回的时间,保证一个请求占用固定时间,超出后报504超时!这样可以保证一个请求占用过长时间. 二.主要参数 使用nginx服务器如果遇到timeou情况时可以如下设置参数,使用fastcgi: fastcgi_connect_timeout 75;  链接 fastcgi_read_timeout 600;   读取 fastcgi_send_timeout 600;   发请求 这两个选项.          fastcgi_read_timeout是指

  • nginx服务器通过配置来解决API的跨域问题

    前言 最近在采用jquery ajax调用http请求时,发现了一系列问题: 如采用firebug调试API请求(这个API是自己服务器的应用),看到服务器明明返回200状态,response返回数据也是json格式,但ajax返回的error. 在排除json数据格式不正确的原因之后,发现了ajax error函数返回"networkerror failed to execute 'send' on 'xmlhttprequest' failed to load 'http //"

  • Nginx 多域名配置的方法

    很多情况下,需要使用多个域名,但你只有一台服务器,那如何搭建,让一台服务器可以访问对个域名,下面的方法是在服务器上搭建Nginx, 直接修改其配置,如下: user www www; #用户名称 worker_processes 2; error_log ../error.log; #error_log logs/error.log notice; pid /usr/local/nginx/nginx.pid; worker_rlimit_nofile 65535; events { use e

  • Nginx服务器下配置个性二级域名及多个域名的实例讲解

    个性二级域名 配置下个性化二级域名. 效果: 访问的URL http://custom.jb51.net 实际的URL http://www.jb51.net/auth/custom 我们的做法就是通过服务器配置,将访问的url转换为实际的url 下面我们来用nginx配置.配置如下: server { listen 80; server_name *.jb51.net; if ( $host ~* (\b(?!www\b)\w+)\.\w+\.\w+ ) { set $subdomain $1

随机推荐