Nginx上啟用https

#簡單配置

server {

? ? ? listen? ? ? ?443 ssl;? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? server_name? ? www.****.com;#域名? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ssl_certificate? ? ? /root/project/ssl/nginx.crt;#證書路徑? ? ?

? ? ? ssl_certificate_key? /root/project/ssl/nginx.key;#key路徑? ? ? ? ? ? ?

? ? ? ssl_session_cache? ? shared:SSL:1m; #s儲存SSL會話的緩存類型和大小? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ssl_session_timeout? 5m; #會話過期時間

? ? ? #...? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

? }

將http訪問自動跳轉(zhuǎn)到https

server{

? ? ? ?listen 80 www.****.com;? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ?rewrite? ^/(.*)$ https://www.****.com/$1 permanent;?

}? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

HTTPS服務器優(yōu)化

激活?keepalive?長連接，一個連接發(fā)送更多個請求

復用 SSL 會話參數(shù)，在并行并發(fā)的連接數(shù)中避免進行多次 SSL『握手』

這些會話會存儲在一個 SSL 會話緩存里面，通過命令?ssl_session_cache?配置，可以使緩存在機器間共享，然后利用客戶端在『握手』階段使用的?seesion id?去查詢服務端的 session cathe(如果服務端設置有的話)，簡化『握手』階段。

1M 的會話緩存大概包含 4000 個會話，默認的緩存超時時間為 5 分鐘，可以通過使用?ssl_session_timeout?命令設置緩存超時時間。下面是一個擁有 10M 共享會話緩存的多核系統(tǒng)優(yōu)化配置例子：

server {

? ? ? listen? ? ? ? 443 ssl;? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? server_name? ? www.****.com;#域名? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ssl_certificate? ? ? /root/project/ssl/nginx.crt;#證書路徑? ? ?

? ? ? ssl_certificate_key? /root/project/ssl/nginx.key;#key路徑? ? ? ? ? ? ?

? ? ? ssl_session_cache? ? shared:SSL:1m; #s儲存SSL會話的緩存類型和大小? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ssl_session_timeout? 5m; #會話過期時間? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ssl_ciphers? HIGH:!aNULL:!MD5; #為建立安全連接，服務器所允許的密碼格式列表? ? ? ? ? ??

? ? ? ssl_prefer_server_ciphers? on; #依賴SSLv3和TLSv1協(xié)議的服務器密碼將優(yōu)先于客戶端密碼

? ? ?#配置共享會話緩存大小

? ? ? ssl_session_cacheshared:SSL:10m;

? ? ? #配置會話超時時間

? ? ? ssl_session_timeout10m;

?#...? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

? }

使用 HSTS 策略強制瀏覽器使用 HTTPS 連接

HSTS – HTTP Strict Transport Security，HTTP嚴格傳輸安全。它允許一個 HTTPS 網(wǎng)站要求瀏覽器總是通過 HTTPS 來訪問，這使得攻擊者在用戶與服務器通訊過程中攔截、篡改信息以及冒充身份變得更為困難。

只要在 Nginx 配置文件加上以下頭信息就可以了：

add_headerStrict-Transport-Security"max-age=31536000; includeSubDomains;preload"always;

max-age：設置單位時間內(nèi)強制使用 HTTPS 連接

includeSubDomains：可選，所有子域同時生效

preload：可選，非規(guī)范值，用于定義使用『HSTS 預加載列表』

always：可選，保證所有響應都發(fā)送此響應頭，包括各種內(nèi)置錯誤響應

加強 HTTPS 安全性

HTTPS 基礎配置采取的默認加密算法是 SHA-1，這個算法非常脆弱，安全性在逐年降低，在 2014 年的時候，?Google 官方博客就宣布在 Chrome 瀏覽器中逐漸降低 SHA-1 證書的安全指示，會從 2015 年起使用 SHA-2 簽名的證書，可參閱?Rabbit_Run?在 2014 年發(fā)表的文章：《為什么Google急著殺死加密算法SHA-1》

為此，主流的 HTTPS 配置方案應該避免 SHA-1，可以使用?迪菲-赫爾曼密鑰交換（D-H，Diffie–Hellman key exchange）方案。

首先在目錄?/root/project/ssl?運行以下代碼生成?dhparam.pem?文件：

一般網(wǎng)站使用的SSL證書都是RSA證書，這種證書基本都是2048位的密鑰，但是證書密鑰交換密鑰必須要比證書密鑰更長才能安全，而默認的只有1024位，所以我們需要手動生成一個更強的密鑰。所以配置之前，如果沒有DH-key就需要做下面的步驟

有screen則跳過，沒則安裝

yum -y install screen

生成4096位的DH-Key（證書密鑰交換密鑰）

screen -S DH

openssl dhparam -out dhparam.pem 4096

執(zhí)行之后需要等很長時間，總之慢慢等，網(wǎng)路出現(xiàn)中斷，可以執(zhí)行下面命令重新連接安裝窗口

screen -r DH

熬過漫長的等待時間后，建議生成的dhparam.pem文件最好跟SSL證書放在一起方便管理。

然后加入 Nginx 配置：

#優(yōu)先采取服務器算法

ssl_prefer_server_ciphers? on;

#使用DH文件

ssl_dhparam? ? ?/root/project/ssl/dhparam.pem;

ssl_protocols? ? ?TLSv1 TLSv1.1TLSv1.2;

#定義算法

ssl_ciphers? "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";

一般情況下還應該加上以下幾個增強安全性的命令：

#減少點擊劫持

add_headerX-Frame-Options DENY;

#禁止服務器自動解析資源類型

add_headerX-Content-Type-Options nosniff;

#防XSS攻擊

add_headerX-Xss-Protection1;

優(yōu)化后的綜合配置

server {

? ? ? ? listen? ? ? ? ? ? ? 443 ssl;

? ? ? ? ? server_name? ? www.****.com;#域名? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ssl_certificate? ? ? /root/project/ssl/nginx.crt;#證書路徑? ? ?

????ssl_certificate_key? /root/project/ssl/nginx.key;#key路徑?

????ssl_session_cache? ? shared:SSL:1m; #s儲存SSL會話的緩存類型和大小? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ? ssl_session_timeout? 5m; #會話過期時間

#設置長連接

? ? ? ? keepalive_timeout?70;

#HSTS策略

? ? ? ? add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

#優(yōu)先采取服務器算法

? ? ? ? ssl_prefer_server_ciphers on;

? #使用DH文件

? ? ? ? ssl_dhparam ? ?/root/project/ssl/dhparam.pem;

? ? ? ? ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

? ? ? ? #定義算法

? ? ? ? ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";

? ? ? ?#減少點擊劫持

? ? ? ? add_header X-Frame-Options DENY;

? ? ? ? #禁止服務器自動解析資源類型

? ? ? ? add_header X-Content-Type-Options nosniff;

? ? ? ? #防XSS攻擊

? ? ? ? add_header X-Xss-Protection 1;

? ? ? ? #......

}

配置完成

測試新的nginx程序是否正確

/usr/local/nginx/sbin/nginx? ?-t

重啟Nginx！

/usr/local/nginx/sbin/nginx -s reload

總結

OK，我們簡單總結一下在 Nginx 下配置 HTTPS 的關鍵要點：

獲得 SSL 證書

通過第三方可靠證書頒發(fā)機構獲取，或者通過 OpenSSL 命令獲得 example.key 和 example.csr 文件

HTTPS優(yōu)化

減少 CPU 運算量

使用 keepalive 長連接

復用 SSL 會話參數(shù)

使用 HSTS 策略強制瀏覽器使用 HTTPS 連接

添加 Strict-Transport-Security 頭部信息

使用 HSTS 預加載列表（HSTS Preload List）

加強 HTTPS 安全性

使用迪菲-赫爾曼密鑰交換（D-H，Diffie–Hellman key exchange）方案

添加 X-Frame-Options 頭部信息，減少點擊劫持

添加 X-Content-Type-Options 頭部信息，禁止服務器自動解析資源類型

添加 X-Xss-Protection 頭部信息，防XSS攻擊

其實簡單的個人博客，如果沒有敏感數(shù)據(jù)交互的話，使用 http 協(xié)議通訊，一般都夠用了，頁面速度還會更快，但正如文章開頭所說，戴上『綠鎖』，更專業(yè)更安全~~有興趣的同學可以去深入了解折騰下：）

本頁內(nèi)容由塔燈網(wǎng)絡科技有限公司通過網(wǎng)絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容，請及時與我們聯(lián)系，并提供相關證據(jù)，工作人員會在5工作日內(nèi)聯(lián)系您，一經(jīng)查實，本站立刻刪除侵權內(nèi)容。本文鏈接:http://jstctz.cn/20534.html