中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

如何進(jìn)行nginx配置ssl加密

這篇文章將為大家詳細(xì)講解有關(guān)如何進(jìn)行nginx配置ssl加密,文章內(nèi)容質(zhì)量較高,因此小編分享給大家做個(gè)參考,希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

創(chuàng)新互聯(lián)建站專注于科爾沁右翼中網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供科爾沁右翼中營(yíng)銷型網(wǎng)站建設(shè),科爾沁右翼中網(wǎng)站制作、科爾沁右翼中網(wǎng)頁(yè)設(shè)計(jì)、科爾沁右翼中網(wǎng)站官網(wǎng)定制、小程序制作服務(wù),打造科爾沁右翼中網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供科爾沁右翼中網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

nginx下配置ssl本來(lái)是很簡(jiǎn)單的,無(wú)論是去認(rèn)證中心買SSL安全證書還是自簽署證書,但最近公司OA的一個(gè)需求,得以有個(gè)機(jī)會(huì)實(shí)際折騰一番。一開(kāi)始采用的是全站加密,所有訪問(wèn)http:80的請(qǐng)求強(qiáng)制轉(zhuǎn)換(rewrite)到https,后來(lái)自動(dòng)化測(cè)試結(jié)果說(shuō)響應(yīng)速度太慢,https比http慢慢30倍,心想怎么可能,鬼知道他們?cè)趺礈y(cè)的。所以就試了一下部分頁(yè)面https(不能只針對(duì)某類動(dòng)態(tài)請(qǐng)求才加密)和雙向認(rèn)證。下面分節(jié)介紹。

默認(rèn)nginx是沒(méi)有安裝ssl模塊的,需要編譯安裝nginx時(shí)加入--with-http_ssl_module選項(xiàng)。

提示:nignx到后端服務(wù)器由于一般是內(nèi)網(wǎng),所以不加密。

1. 全站ssl

全站做ssl是最常見(jiàn)的一個(gè)使用場(chǎng)景,默認(rèn)端口443,而且一般是單向認(rèn)證。

server {        listen 443;        server_name example.com;        root /apps/www;        index index.html index.htm;        ssl on;        ssl_certificate ../SSL/ittest.pem;        ssl_certificate_key ../SSL/ittest.key;#        ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;#        ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;#        ssl_prefer_server_ciphers on;}

如果想把http的請(qǐng)求強(qiáng)制轉(zhuǎn)到https的話:

server {  listen      80;  server_name example.me;  rewrite     ^   https://$server_name$request_uri? permanent;### 使用return的效率會(huì)更高 #  return 301 https://$server_name$request_uri;}

ssl_certificate證書其實(shí)是個(gè)公鑰,它會(huì)被發(fā)送到連接服務(wù)器的每個(gè)客戶端,ssl_certificate_key私鑰是用來(lái)解密的,所以它的權(quán)限要得到保護(hù)但nginx的主進(jìn)程能夠讀取。當(dāng)然私鑰和證書可以放在一個(gè)證書文件中,這種方式也只有公鑰證書才發(fā)送到client。

ssl_protocols指令用于啟動(dòng)特定的加密協(xié)議,nginx在1.1.13和1.0.12版本后默認(rèn)是ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2,TLSv1.1與TLSv1.2要確保OpenSSL >= 1.0.1 ,SSLv3 現(xiàn)在還有很多地方在用但有不少被攻擊的漏洞。

ssl_ciphers選擇加密套件,不同的瀏覽器所支持的套件(和順序)可能會(huì)不同。這里指定的是OpenSSL庫(kù)能夠識(shí)別的寫法,你可以通過(guò) openssl -v cipher 'RC4:HIGH:!aNULL:!MD5'(后面是你所指定的套件加密算法) 來(lái)看所支持算法。

ssl_prefer_server_ciphers on設(shè)置協(xié)商加密算法時(shí),優(yōu)先使用我們服務(wù)端的加密套件,而不是客戶端瀏覽器的加密套件。

https優(yōu)化參數(shù)

  • ssl_session_cache shared:SSL:10m; : 設(shè)置ssl/tls會(huì)話緩存的類型和大小。如果設(shè)置了這個(gè)參數(shù)一般是sharedbuildin可能會(huì)參數(shù)內(nèi)存碎片,默認(rèn)是none,和off差不多,停用緩存。如shared:SSL:10m表示我所有的nginx工作進(jìn)程共享ssl會(huì)話緩存,官網(wǎng)介紹說(shuō)1M可以存放約4000個(gè)sessions。 詳細(xì)參考serverfault上的問(wèn)答ssl_session_cache。

  • ssl_session_timeout : 客戶端可以重用會(huì)話緩存中ssl參數(shù)的過(guò)期時(shí)間,內(nèi)網(wǎng)系統(tǒng)默認(rèn)5分鐘太短了,可以設(shè)成30m即30分鐘甚至4h

設(shè)置較長(zhǎng)的keepalive_timeout也可以減少請(qǐng)求ssl會(huì)話協(xié)商的開(kāi)銷,但同時(shí)得考慮線程的并發(fā)數(shù)了。

提示:在生成證書請(qǐng)求csr文件時(shí),如果輸入了密碼,nginx每次啟動(dòng)時(shí)都會(huì)提示輸入這個(gè)密碼,可以使用私鑰來(lái)生成解密后的key來(lái)代替,效果是一樣的,達(dá)到免密碼重啟的效果:

openssl rsa -in ittest.key -out ittest_unsecure.key

導(dǎo)入證書

如果你是找一個(gè)知名的SSL證書頒發(fā)機(jī)構(gòu)如VeriSign、Wosign、StartSSL簽發(fā)的證書,瀏覽器已經(jīng)內(nèi)置并信任了這些根證書,如果你是自建C或獲得二級(jí)CA授權(quán),都需要將CA證書添加到瀏覽器,這樣在訪問(wèn)站點(diǎn)時(shí)才不會(huì)顯示不安全連接。各個(gè)瀏覽的添加方法不在本文探討范圍內(nèi)。

2. 部分頁(yè)面ssl

一個(gè)站點(diǎn)并不是所有信息都是非常機(jī)密的,如網(wǎng)上商城,一般的商品瀏覽可以不通過(guò)https,而用戶登錄以及支付的時(shí)候就強(qiáng)制經(jīng)過(guò)https傳輸,這樣用戶訪問(wèn)速度和安全性都得到兼顧。

但是請(qǐng)注意不要理解錯(cuò)了,是對(duì)頁(yè)面加密而不能針對(duì)某個(gè)請(qǐng)求加密,一個(gè)頁(yè)面或地址欄的URL一般會(huì)發(fā)起許多請(qǐng)求的,包括css/png/js等靜態(tài)文件和動(dòng)態(tài)的java或php請(qǐng)求,所以要加密的內(nèi)容包含頁(yè)面內(nèi)的其它資源文件,否則就會(huì)出現(xiàn)http與https內(nèi)容混合的問(wèn)題。在http頁(yè)面混有https內(nèi)容時(shí),頁(yè)面排版不會(huì)發(fā)生亂排現(xiàn)象;在https頁(yè)面中包含以http方式引入的圖片、js等資源時(shí),瀏覽器為了安全起見(jiàn)會(huì)阻止加載。

下面是只對(duì)example.com/account/login登錄頁(yè)面進(jìn)行加密的栗子:

root /apps/www;index index.html index.htm;server {    listen      80;    server_name example.com;    location ^~ /account/login {        rewrite ^ https://$server_name:443$request_uri? permanent;
    }    location / {        proxy_pass  http://localhost:8080;        ### Set headers ####
        proxy_set_header Host $host;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;        proxy_redirect     off; 
    }
}server {    listen 443 ssl;    server_name example.com;    ssl on;    ssl_certificate ../SSL/ittest.pem;    ssl_certificate_key ../SSL/ittest.key;    ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;    ssl_prefer_server_ciphers on;    location ^~ /account/login {        proxy_pass  http://localhost:8080;        proxy_set_header Host $host;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;        proxy_redirect     off; 
        ### Most PHP, Python, Rails, Java App can use this header -> https ###
        proxy_set_header X-Forwarded-Proto  $scheme;
    }    location / {        rewrite  ^  http://$server_name$request_uri? permanent;
    }
}

關(guān)于rewrite與location的寫法參考這里。當(dāng)瀏覽器訪問(wèn)http://example.com/account/login.xx時(shí),被301到https://example.com/account/login.xx,在這個(gè)ssl加密的虛擬主機(jī)里也匹配到/account/login,反向代理到后端服務(wù)器,后面的傳輸過(guò)程是沒(méi)有https的。這個(gè)login.xx頁(yè)面下的其它資源也是經(jīng)過(guò)https請(qǐng)求nginx的,登錄成功后跳轉(zhuǎn)到首頁(yè)時(shí)的鏈接使用http,這個(gè)可能需要開(kāi)發(fā)代碼里面控制。

  • 上面配置中使用了proxy_set_header X-Forwarded-Proto $scheme,在jsp頁(yè)面使用request.getScheme()得到的是https 。如果不把請(qǐng)求的$scheme協(xié)議設(shè)置在header里,后端jsp頁(yè)面會(huì)一直認(rèn)為是http,將導(dǎo)致響應(yīng)異常。

  • ssl配置塊還有個(gè)與不加密的80端口類似的location /,它的作用是當(dāng)用戶直接通過(guò)https訪問(wèn)首頁(yè)時(shí),自動(dòng)跳轉(zhuǎn)到不加密端口,你可以去掉它允許用戶這樣做。

3. 實(shí)現(xiàn)雙向ssl認(rèn)證

上面的兩種配置都是去認(rèn)證被訪問(wèn)的站點(diǎn)域名是否真實(shí)可信,并對(duì)傳輸過(guò)程加密,但服務(wù)器端并沒(méi)有認(rèn)證客戶端是否可信。(實(shí)際上除非特別重要的場(chǎng)景,也沒(méi)必要去認(rèn)證訪問(wèn)者,除非像銀行U盾這樣的情況)

要實(shí)現(xiàn)雙向認(rèn)證HTTPS,nginx服務(wù)器上必須導(dǎo)入CA證書(根證書/中間級(jí)證書),因?yàn)楝F(xiàn)在是由服務(wù)器端通過(guò)CA去驗(yàn)證客戶端的信息。還有必須在申請(qǐng)服務(wù)器證書的同時(shí),用同樣的方法生成客戶證書。取得客戶證書后,還要將它轉(zhuǎn)換成瀏覽器識(shí)別的格式(大部分瀏覽器都認(rèn)識(shí)PKCS12格式):

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

然后把這個(gè)client.p12發(fā)給你相信的人,讓它導(dǎo)入到瀏覽器中,訪問(wèn)站點(diǎn)建立連接的時(shí)候nginx會(huì)要求客戶端把這個(gè)證書發(fā)給自己驗(yàn)證,如果沒(méi)有這個(gè)證書就拒絕訪問(wèn)。

同時(shí)別忘了在 nginx.conf 里配置信任的CA:(如果是二級(jí)CA,請(qǐng)把根CA放在后面,形成CA證書鏈)

    proxy_ignore_client_abort on;
    ssl on;
    ...
    ssl_verify_client on;
    ssl_verify_depth 2;
    ssl_client_certificate ../SSL/ca-chain.pem;#在雙向location下加入:
    proxy_set_header X-SSL-Client-Cert $ssl_client_cert;

拓展:使用geo模塊

nginx默認(rèn)安裝了一個(gè)ngx_http_geo_module,這個(gè)geo模塊可以根據(jù)客戶端IP來(lái)創(chuàng)建變量的值,用在如來(lái)自172.29.73.0/24段的IP訪問(wèn)login時(shí)使用雙向認(rèn)證,其它段使用一般的單向認(rèn)證。

geo $duplexing_user {    default 1;    include geo.conf;  # 注意在0.6.7版本以后,include是相對(duì)于nginx.conf所在目錄而言的}

語(yǔ)法 geo [$address] $variable { … },位于http段,默認(rèn)地址是$reoute_addr,假設(shè) conf/geo.conf 內(nèi)容:

127.0.0.1/32    LOCAL;  # 本地172.29.73.23/32 SEAN;   # 某個(gè)IP172.29.73.0/24  1;      # IP段,可以按國(guó)家或地域定義后面的不同的值

需要配置另外一個(gè)虛擬主機(jī)server{ssl 445},里面使用上面雙向認(rèn)證的寫法,然后在80或443里使用變量$duplexing_user去判斷,如果為1就rewrite到445,否則rewrite到443。

關(guān)于如何進(jìn)行nginx配置ssl加密就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到。

新聞名稱:如何進(jìn)行nginx配置ssl加密
文章路徑:http://www.rwnh.cn/article6/gshoog.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供做網(wǎng)站、標(biāo)簽優(yōu)化、微信公眾號(hào)服務(wù)器托管、建站公司、面包屑導(dǎo)航

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

外貿(mào)網(wǎng)站建設(shè)
霍邱县| 恩平市| 景洪市| 贺兰县| 崇明县| 沙雅县| 三门峡市| 灵台县| 司法| 丹凤县| 东阳市| 灵寿县| 临猗县| 茌平县| 泰和县| 岑溪市| 柯坪县| 南康市| 揭西县| 鞍山市| 清镇市| 老河口市| 广河县| 湘乡市| 大石桥市| 周口市| 介休市| 安塞县| 怀远县| 丰台区| 时尚| 乌拉特中旗| 杂多县| 巢湖市| 安仁县| 通州市| 汽车| 封丘县| 六枝特区| 旬邑县| 耿马|