Nginx配置并兼容HTTP实现代码解析_nginx

来源:脚本之家  责任编辑:小易  

使用 OpenSSL 生成 SSL Key 和 CSR 文件

配置 HTTPS 要用到私钥 example.key 文件和 example.crt 证书文件,申请证书文件的时候要用到 example.csr 文件,OpenSSL 命令可以生成 example.key 文件和 example.csr 证书文件。

CSR:Cerificate Signing Request,证书签署请求文件,里面包含申请者的 DN(Distinguished Name,标识名)和公钥信息,在第三方证书颁发机构签署证书的时候需要提供。证书颁发机构拿到 CSR 后使用其根证书私钥对证书进行加密并生成 CRT 证书文件,里面包含证书加密信息以及申请者的 DN 及公钥信息

Key:证书申请者私钥文件,和证书里面的公钥配对使用,在 HTTPS 『握手』通讯过程需要使用私钥去解密客戶端发來的经过证书公钥加密的随机数信息,是 HTTPS 加密通讯过程非常重要的文件,在配置 HTTPS 的時候要用到

使用 OpenSSl命令可以在系统当前目录生成 example.key 和 example.csr 文件:

openssl req -new -newkey rsa:2048 -sha256 -nodes -out example_com.csr -keyout example_com.key -subj "/C=CN/ST=ShenZhen/L=ShenZhen/O=Example Inc./OU=Web Security/CN=example.com"

下面是上述命令相关字段含义:

C:Country ,单位所在国家,为两位数的国家缩写,如: CN 就是中国 ST 字段: State/Province ,单位所在州或省 L 字段: Locality ,单位所在城市 / 或县区 O 字段: Organization ,此网站的单位名称; OU 字段: Organization Unit,下属部门名称;也常常用于显示其他证书相关信息,如证书类型,证书产品名称或身份验证类型或验证内容等; CN 字段: Common Name ,网站的域名;

生成 csr 文件后,提供给 CA 机构,签署成功后,就会得到一個 example.crt 证书文件,SSL 证书文件获得后,就可以在 Nginx 配置文件里配置 HTTPS 了。

配置 HTTPS

基础配置

要开启 HTTPS 服务,在配置文件信息块(server block),必须使用监听命令 listen 的 ssl 参数和定义服务器证书文件和私钥文件,如下所示:

	
server {
  #ssl参数
  listen       443 ssl;
  server_name     example.com;
  #证书文件
  ssl_certificate   example.com.crt;
  #私钥文件
  ssl_certificate_key example.com.key;
  ssl_protocols    TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers     HIGH:!aNULL:!MD5;
  #...
}

证书文件会作为公用实体發送到每台连接到服务器的客戶端,私钥文件作为安全实体,应该被存放在具有一定权限限制的目录文件,并保证 Nginx 主进程有存取权限。

私钥文件也有可能会和证书文件同放在一個文件中,如下面情況:

ssl_certificate www.example.com.cert;
ssl_certificate_key www.example.com.cert;

这种情況下,证书文件的的读取权限也应该加以限制,仅管证书和私钥存放在同一个文件里,但是只有证书会被发送到客戶端

命令 ssl_protocols 和 ssl_ciphers 可以用来限制连接只包含 SSL/TLS 的加強版本和算法,默认值如下:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;

由于这两个命令的默认值已经好几次发生了改变,因此不建议显性定义,除非有需要额外定义的值,如定义 D-H 算法:

#使用DH文件
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#定义算法
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
#...

HTTP强制转HTTPS

另外配置一个server块,监听80端口,再加上rewrite。

server { 
  listen 80;
  server_name 服务器ip;   
  rewrite ^(.*)$ https://$host$1 permanent; #http强制转https
}

server配置参考

server { 
  listen 80;
  server_name 服务器ip;   
  rewrite ^(.*)$ https://$host$1 permanent; #http强制转https
}
server {
  charset utf-8;       #服务器编码
  listen 443 ssl;      #监听地址
  server_name 服务器ip;  #证书绑定的网站域名
  server_tokens off;     #隐藏nginx版本号
  
  #ssl配置
  ssl_certificate  /etc/ssl/certs/nginx-selfsigned.crt; #证书公钥
  ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;  #证书私钥
  ssl_session_timeout 5m;
  ssl_ciphers SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers off;
  ssl_dhparam /etc/nginx/dhparams.pem;  

  #请求头
  add_header Strict‐Transport‐Security max‐age=63072000;
  add_header X-Frame-Options SAMEORIGIN;
  add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
  add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block";
  add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
  add_header Set-Cookie "HttpOnly";
  add_header Set-Cookie "Secure";
  
  #请求方法限制
  ## Only allow these request methods ##
   if ($request_method !~ ^(GET|POST|DELETE|PUT|PATCH)$ ) {
     return 444;
   }
  
  #访问路径匹配
  location / {
    root /usr/share/nginx/html; #站点目录
      index index.html index.htm;
  }
  location /test/ {
     proxy_pass http://127.0.0.1:8100/; #转发本地端口8100
  }
 
  #禁止访问路径
  # location /dirdeny {
  #   deny all;
  #   return 403;
  #}

  #错误页面配置
  error_page  502 503 504 /error502.html;
    location = /error502.html{
    root /usr/share/nginx/html;
  }
  error_page  500 /error.html;
   location = /error.html{
      root /usr/share/nginx/html;
    }
  error_page  404 /notfind.html;
   location = /notfind.html{
      root /usr/share/nginx/html;
    }
}


  • 本文相关:
  • 修改nginx服务器类型实现简单伪装(隐藏nginx类型与版本等)
  • nginx配置gzip压缩页面
  • 前端必备nginx配置详解
  • 在阿里云centos下如何安装nginx
  • nginx安装与使用教程详解
  • lnmp 解决access denied错误详细介绍
  • windows7下安装php+nginx的方法
  • nginx禁止某个ip访问站点的设置方法
  • 详解nginx 动态 dns 反向代理的几种写法
  • nginx禁止直接通过ip进行访问并跳转到自定义500页面的操作
  • 如何用 Nginx 配置透明 HTTP 和 HTTPS 代理
  • nginx 同时支持https和http
  • 轻量级HTTP服务器Nginx:为何要选择Nginx
  • 怎么样配置nginx,通过nginx启动一个本地http服务
  • nginx配置文件中的http是什么意思
  • nginx+lua怎样实现http请求的响应
  • nginx配置文件详解
  • nginx能够实现http转发到https吗?
  • 想用nginx配置一个最简单的代理转发的功能,请问怎...
  • 如何用nginx.conf配置nginx
  • 网站首页网页制作脚本下载服务器操作系统网站运营平面设计媒体动画电脑基础硬件教程网络安全星外虚拟主机华众虚拟主机linuxwin服务器ftp服务器dns服务器tomcat nginxzabbix云和虚拟化服务器其它首页服务器nginx配置https加密访问的详细教程阿里云nginx配置https实现域名访问项目(图文教程)nginx配置https原理及实现过程详解nginx下配置https证书详细过程nginx配置同一个域名同时支持http与https两种方式访问实现nginx同时支持http和https的配置详解nginx http运行状况健康检查配置过程解析nginx配置ssl证书实现https服务的方法nginx下frp强制重定向为https配置详解docker安装nginx并配置通过https访问的方法修改nginx服务器类型实现简单伪装(隐藏nginx类型与版本等)nginx配置gzip压缩页面前端必备nginx配置详解在阿里云centos下如何安装nginxnginx安装与使用教程详解lnmp 解决access denied错误详细介绍windows7下安装php+nginx的方法nginx禁止某个ip访问站点的设置方法详解nginx 动态 dns 反向代理的几种写法nginx禁止直接通过ip进行访问并跳转到自定义500页面的操作nginx提示:500 internal servernginx 多站点配置方法集合权限问题导致nginx 403 forbiddenginx fastcgi错误primary scripnginx服务器的反向代理proxy_pasnginx 403 forbidden的解决办法nginx伪静态配置和常用rewrite伪详解nginx服务器中配置超时时间的nginx下301重定向域名的方法小结windows下nginx+php5的安装与配置详解nginx启用proxy_buffer缓冲nginx隐藏版本号与网页缓存时间的方法nginx配置ssl双向验证的方法centos 7下安装nginx服务器nginx常用功能详解5种nginx负载均衡配置方法分享在nginx中配置pathinfo模式支持thinkphp的linux下nginx+tomcat负载均衡配置方法nginx 502 bad gateway错误原因及解决方案nginx+fastdfs搭建图片服务器的方法实现
    免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved