Nginx配置并兼容HTTP实现代码解析


Posted in Servers onMarch 31, 2021

使用 OpenSSL 生成 SSL Key 和 CSR 文件

配置 HTTPS 要用到私钥 example.key 文件和 example.crt 证书文件,申请证书文件的时候要用到 example.csr 文件,OpenSSL 命令可以生成 example.key 文件和 example.csr 证书文件。

CSR:Cerificate Signing Request,证书签署请求文件,里面包含申请者的 DN(Distinguished Name,标识名)和公钥信息,在第三方证书颁发机构签署证书的时候需要提供。证书颁发机构拿到 CSR 后使用其根证书私钥对证书进行加密并生成 CRT 证书文件,里面包含证书加密信息以及申请者的 DN 及公钥信息

Key:证书申请者私钥文件,和证书里面的公钥配对使用,在 HTTPS 『握手』通讯过程需要使用私钥去解密客?舳朔?淼木??な楣?考用艿乃婊??畔ⅲ? HTTPS 加密通讯过程非常重要的文件,在配置 HTTPS 的?r候要用到

使用 OpenSSl命令可以在系统当前目录生成 example.key 和 example.csr 文件:

openssl req -new -newkey rsa:2048 -sha256 -nodes -out example_com.csr -keyout example_com.key -subj "/C=CN/ST=ShenZhen/L=ShenZhen/O=Example Inc./OU=Web Security/CN=example.com"

下面是上述命令相关字段含义:

  • C:Country ,单位所在国家,为两位数的国家缩写,如: CN 就是中国
  • ST 字段: State/Province ,单位所在州或省
  • L 字段: Locality ,单位所在城市 / 或县区
  • O 字段: Organization ,此网站的单位名称;
  • OU 字段: Organization Unit,下属部门名称;也常常用于显示其他证书相关信息,如证书类型,证书产品名称或身份验证类型或验证内容等;
  • CN 字段: Common Name ,网站的域名;

生成 csr 文件后,提供给 CA 机构,签署成功后,就会得到一?? example.crt 证书文件,SSL 证书文件获得后,就可以在 Nginx 配置文件里配置 HTTPS 了。

配置 HTTPS

基础配置

要开启 HTTPS 服务,在配置文件信息块(server block),必须使用监听命令 listen 的 ssl 参数和定义服务器证书文件和私钥文件,如下所示:

server {
  #ssl参数
  listen       443 ssl;
  server_name     example.com;
  #证书文件
  ssl_certificate   example.com.crt;
  #私钥文件
  ssl_certificate_key example.com.key;
  ssl_protocols    TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers     HIGH:!aNULL:!MD5;
  #...
}

证书文件会作为公用实体?送到每台连接到服务器的客?舳耍?皆课募?魑?踩?堤澹?Ω帽淮娣旁诰哂幸欢ㄈㄏ尴拗频哪柯嘉募??⒈V Nginx 主进程有存取权限。

私钥文件也有可能会和证书文件同放在一??文件中,如下面情?r:

ssl_certificate www.example.com.cert;
ssl_certificate_key www.example.com.cert;

这种情?r下,证书文件的的读取权限也应该加以限制,仅管证书和私钥存放在同一个文件里,但是只有证书会被发送到客?舳?/p>

命令 ssl_protocols 和 ssl_ciphers 可以用来限制连接只包含 SSL/TLS 的加??版本和算法,默认值如下:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;

由于这两个命令的默认值已经好几次发生了改变,因此不建议显性定义,除非有需要额外定义的值,如定义 D-H 算法:

#使用DH文件
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#定义算法
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
#...

HTTP强制转HTTPS

另外配置一个server块,监听80端口,再加上rewrite。

server { 
  listen 80;
  server_name 服务器ip;   
  rewrite ^(.*)$ https://$host$1 permanent; #http强制转https
}

server配置参考

server { 
  listen 80;
  server_name 服务器ip;   
  rewrite ^(.*)$ https://$host$1 permanent; #http强制转https
}
server {
  charset utf-8;       #服务器编码
  listen 443 ssl;      #监听地址
  server_name 服务器ip;  #证书绑定的网站域名
  server_tokens off;     #隐藏nginx版本号
  
  #ssl配置
  ssl_certificate  /etc/ssl/certs/nginx-selfsigned.crt; #证书公钥
  ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;  #证书私钥
  ssl_session_timeout 5m;
  ssl_ciphers SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers off;
  ssl_dhparam /etc/nginx/dhparams.pem;  

  #请求头
  add_header Strict?Transport?Security max?age=63072000;
  add_header X-Frame-Options SAMEORIGIN;
  add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
  add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block";
  add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
  add_header Set-Cookie "HttpOnly";
  add_header Set-Cookie "Secure";
  
  #请求方法限制
  ## Only allow these request methods ##
   if ($request_method !~ ^(GET|POST|DELETE|PUT|PATCH)$ ) {
     return 444;
   }
  
  #访问路径匹配
  location / {
    root /usr/share/nginx/html; #站点目录
      index index.html index.htm;
  }
  location /test/ {
     proxy_pass http://127.0.0.1:8100/; #转发本地端口8100
  }
 
  #禁止访问路径
  # location /dirdeny {
  #   deny all;
  #   return 403;
  #}

  #错误页面配置
  error_page  502 503 504 /error502.html;
    location = /error502.html{
    root /usr/share/nginx/html;
  }
  error_page  500 /error.html;
   location = /error.html{
      root /usr/share/nginx/html;
    }
  error_page  404 /notfind.html;
   location = /notfind.html{
      root /usr/share/nginx/html;
    }
}

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Servers 相关文章推荐
Nginx+Tomcat实现负载均衡、动静分离的原理解析
Mar 31 Servers
nginx简单配置多个server的方法
Mar 31 Servers
win10安装配置nginx的过程
Mar 31 Servers
nginx限制并发连接请求数的方法
Apr 01 Servers
解决使用了nginx获取IP地址都是127.0.0.1 的问题
Sep 25 Servers
教你快速构建一个基于nginx的web集群项目
Nov 27 Servers
Nginx速查手册及常见问题
Apr 07 Servers
Nginx静态压缩和代码压缩提高访问速度详解
May 30 Servers
CentOS7环境下MySQL8常用命令小结
Jun 10 Servers
windows server2008 开启端口的实现方法
Jun 25 Servers
解决Git推送错误non-fast-forward的方法
Jun 25 Servers
django项目、vue项目部署云服务器的详细过程
Jul 23 Servers
基于Nginx实现限制某IP短时间访问次数
Mar 31 #Servers
Nginx tp3.2.3 404问题解决方案
Mar 31 #Servers
解决Nginx 配置 proxy_pass 后 返回404问题
nginx配置ssl实现https的方法示例
Mar 31 #Servers
Nginx解决前端访问资源跨域问题的方法详解
Mar 31 #Servers
nginx实现发布静态资源的方法
Nginx中break与last的区别详析
You might like
收集的php编写大型网站问题集
2007/03/06 PHP
PHP输出数组中重名的元素的几种处理方法
2012/09/05 PHP
Laravel实现构造函数自动依赖注入的方法
2016/03/16 PHP
使用upstart把nodejs应用封装为系统服务实例
2014/06/01 NodeJs
浅谈Javascript变量作用域问题
2014/12/16 Javascript
jQuery实现伸展与合拢panel的方法
2015/04/30 Javascript
全面解析Bootstrap表单使用方法(表单控件状态)
2015/11/24 Javascript
javascript实现加载xml文件的方法
2015/11/24 Javascript
javascript的几种写法总结
2016/09/30 Javascript
js实现简单的网页换肤效果
2017/01/18 Javascript
原生js 封装get ,post, delete 请求的实例
2017/08/11 Javascript
Vue ElementUI之Form表单验证遇到的问题
2017/08/21 Javascript
angularJS开发注意事项
2018/05/26 Javascript
Node.js搭建WEB服务器的示例代码
2018/08/15 Javascript
浅谈Vue.js 关于页面加载完成后执行一个方法的问题
2019/04/01 Javascript
JS使用new操作符创建对象的方法分析
2019/05/30 Javascript
[01:10]DOTA2次级职业联赛 - Fly战队宣传片
2014/12/01 DOTA
python判断windows隐藏文件的方法
2014/03/21 Python
python使用三角迭代计算圆周率PI的方法
2015/03/20 Python
pygame学习笔记(5):游戏精灵
2015/04/15 Python
Python基于Matplotlib库简单绘制折线图的方法示例
2017/08/14 Python
Python基础知识点 初识Python.md
2019/05/14 Python
Python 3.6 -win64环境安装PIL模块的教程
2019/06/20 Python
python3获取当前目录的实现方法
2019/07/29 Python
Python Django搭建网站流程图解
2020/06/13 Python
python 基于pygame实现俄罗斯方块
2021/03/02 Python
CSS 说明横向进度条最后显示文字的实现代码
2020/11/10 HTML / CSS
简单介绍HTML5中的文件导入
2015/05/08 HTML / CSS
中国宠物用品商城:E宠商城
2016/08/27 全球购物
给定一个时间点,希望得到其他时间点
2013/11/07 面试题
个性车贴标语
2014/06/24 职场文书
党的群众路线对照检查材料(个人)
2014/09/24 职场文书
MySQL为id选择合适的数据类型
2021/06/07 MySQL
nginx从安装到配置详细说明(安装,安全配置,防盗链,动静分离,配置 HTTPS,性能优化)
2022/02/12 Servers
常用的文件对应的MIME类型汇总
2022/04/26 HTML / CSS
2022年显卡天梯图(6月更新)
2022/06/17 数码科技