人妖在线一区,国产日韩欧美一区二区综合在线,国产啪精品视频网站免费,欧美内射深插日本少妇

新聞動態(tài)

Nginx服務(wù)器https配置的方法示例

發(fā)布日期:2022-03-25 13:56 | 文章來源:站長之家

Linux:Linux version 3.10.0-123.9.3.el7.x86_64

Nginx:nginx/1.6.3

openssl:1.0.1e

申請證書

目前網(wǎng)上有不少機構(gòu)提供個人免費 ssl 證書,有效期幾個月到幾年不等。以 StartSSL :https://www.startssl.com 為例, 申請成功后有效期 3 年,到期后可免費續(xù)租。

具體申請過程也很簡單。

注冊登錄以后選擇 Certificates Wizard >> DV SSL Certificate 申請一個免費的 ssl 證書。

通過郵件驗證域名之后,然后在自己服務(wù)器中生成 SSL 證書的 csr , 記住生成輸入的秘密 ,之后要用到:

openssl req -newkey rsa:2048 -keyout weizhimiao.cn.key -out weizhimiao.cn.csr

將生成的證書,放到指定的存放證書的目錄,如 /data/secret/ 。查看證書 weizhimiao.csr 內(nèi)容,將內(nèi)容復(fù)制到頁面中的 Certificate Signing Request (CSR)部分,提交頁面。

下載生成好的證書,選擇對應(yīng)的web服務(wù)器(Nginx,1_weizhimiao.cn_bundle.crt),這樣私鑰和公鑰我們就都有了。

  • 1_weizhimiao.cn_bundle.crt(公鑰)
  • weizhimiao.cn.key(私鑰)

nginx配置(為指定域名增加https)

nginx.conf當(dāng)前配置

...
http {
 ...
 include /etc/nginx/conf.d/*.conf;
 server {
  ...
 }
}

./conf.d/weizhimiao.cn.conf中加入

server{
 listen 443 ssl;
 server_name weizhimiao.cn;
 ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
 ssl_certificate_key /data/secret/weizhimiao.cn.key;
 ssl_prefer_server_ciphers on;
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA !aNULL !eNULL !LOW !MD5 !EXP !DSS !PSK !SRP !kECDH !CAMELLIA !RC4 !SEED';
 add_header Strict-Transport-Security 'max-age=31536000; preload';
 add_header X-Frame-Options DENY;
 ssl_session_cache shared:SSL:10m;
 ssl_session_timeout 10m;
 keepalive_timeout 70;
 ssl_dhparam /data/secret/dhparam.pem;
 add_header X-Content-Type-Options nosniff;
 add_header X-Xss-Protection 1;
 root /data/www/weizhimiao.cn;
 index index.html;
 location / {
 }
}

注:

配置中用到一個 /data/secret/dhparam.pem 文件,該文件是一個PEM格式的密鑰文件,用于TLS會話中。用來加強ssl的安全性。生成該文件方法,

cd /data/secret/
openssl dhparam 2048 -out dhparam.pem

將原來80端口的訪問,重定向。./conf.d/weizhimiao.cn.conf中加入

server{
 listen 80;
 server_name weizhimiao.cn;
 return 301 https://weizhimiao.cn$request_uri;
}

測試

檢測配置文件是否有語法錯誤,需要輸入之前生成公鑰時輸入的密碼。

nginx -t
Enter PEM pass phrase:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

重啟Nginx(切記,reload不起作用)

nginx -s stop
Enter PEM pass phrase:
nginx
Enter PEM pass phrase:

瀏覽器訪問 weizhimiao.cn ,是否生效。

另,Nginx配置了安全證書之后,nginx每次的reload、stop等操作都需要輸入密碼。

可以通過生成一個解密的key文件,替代原來key文件。

cd /data/secret/
openssl rsa -in weizhimiao.cn.key -out weizhimiao.cn.key.unsecure

替換 weizhimiao.cn.conf 中的 weizhimiao.cn.key 文件.

server {
 ...
 ssl_certificate /data/secret/1_weizhimiao.cn_bundle.crt;
 ssl_certificate_key /data/secret/weizhimiao.cn.key.unsecure;
 ...
}

之后每次在reload時,就不需要在輸入密碼了。

最后,用 SSLLABS 來進行一下測試。

結(jié)果

以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持本站。

版權(quán)聲明:本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有,歡迎引用、轉(zhuǎn)載,請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站,禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像,否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來,僅供學(xué)習(xí)參考,不代表本站立場,如有內(nèi)容涉嫌侵權(quán),請聯(lián)系alex-e#qq.com處理。

相關(guān)文章

實時開通

自選配置、實時開通

免備案

全球線路精選!

全天候客戶服務(wù)

7x24全年不間斷在線

專屬顧問服務(wù)

1對1客戶咨詢顧問

在線
客服

在線客服:7*24小時在線

客服
熱線

400-630-3752
7*24小時客服服務(wù)熱線

關(guān)注
微信

關(guān)注官方微信
頂部