nginx配置SSL/TLS证书的实现步骤
前言
在当今互联网环境中,网站安全性至关重要。SSL/TLS 协议为网站提供了加密通信的能力,保护用户数据免受窃听和篡改。本文将详细介绍如何在 Nginx 服务器上配置 SSL/TLS 证书,包括获取证书、配置 Nginx、强化安全性等完整流程。无论您是使用 Let’s Encrypt 的免费证书还是自签名证书,都能在本指南中找到对应的配置方法。
一、准备工作:安装 Nginx
1.1 安装 EPEL 仓库
sudo yum install epel-release -y
1.2 安装 Nginx
sudo yum install nginx -y
1.3 启动并设置 Nginx 开机启动
sudo systemctl start nginx sudo systemctl enable nginx
1.4 检查 Nginx 是否正常运行
访问 http://your_server_ip,你应该能看到 Nginx 的默认欢迎页面。如果没有,使用以下命令检查 Nginx 状态:
sudo systemctl status nginx
二、获取 SSL/TLS 证书
SSL/TLS 证书是启用 HTTPS 加密连接所必需的。我们可以使用免费的 Let’s Encrypt 证书,也可以选择使用 自签名证书。
2.1 使用 Let’s Encrypt 证书(推荐)
2.1.1 安装 Certbot
sudo yum install epel-release -y sudo yum install certbot python2-certbot-nginx -y
2.1.2 获取 SSL 证书
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
2.1.3 配置自动续期
sudo crontab -e
添加以下行:
0 0 * * * /usr/bin/certbot renew --quiet
2.2 创建自签名证书(仅用于测试)
2.2.1 生成自签名证书
mkdir -p /usr/local/nginx/ssl/private
#证书私钥文件夹
mkdir -p /usr/local/nginx/ssl/certs
#证书请求文件夹
openssl genpkey -algorithm RSA -out /usr/local/nginx/ssl/private/nginx-selfsigned.key -pkeyopt rsa_keygen_bits:2048
#-algorithm指定证书算法 SRA
#-out 指定输出目录
#-pkeyopt 指定秘钥长度,2048标准安全
openssl req -new -key /usr/local/nginx/ssl/private/nginx-selfsigned.key -out /usr/local/nginx/ssl/certs/nginx-selfsigned.csr
#req -new 生成一个新的证书请求
#-key /usr/local/nginx/ssl/private/nginx-selfsigned.key 请求一个私钥
#-out /usr/local/nginx/ssl/certs/nginx-selfsigned.csr 输出到证书请求文件
openssl x509 -req -days 365 -in /usr/local/nginx/ssl/certs/nginx-selfsigned.csr -signkey /usr/local/nginx/ssl/private/nginx-selfsigned.key -out /usr/local/nginx/ssl/certs/nginx-selfsigned.crt
#x509标准证书
#-req -days 365 -in /usr/local/nginx/ssl/certs/nginx-selfsigned.csr生成一个新的证书请求365天的
#-signkey /usr/local/nginx/ssl/private/nginx-selfsigned.key指向私钥地址
#-out /usr/local/nginx/ssl/certs/nginx-selfsigned.crt指向证书地址
==================================证书签发对话=====================================
其他字段说明(一般在用 openssl req -new -key ... 生成 CSR 时会问)
Country Name (2 letter code): 国家代码(必须 2 位,例如 CN、US)
State or Province Name: 省/州全名,例如 Zhejiang
Locality Name: 城市,例如 Hangzhou
Organization Name: 公司或组织名,例如 MyCompany Ltd
Organizational Unit Name: 部门名,例如 IT Department(可留空)
Common Name (e.g. server FQDN): 你的域名,例如 example.com
Email Address: 邮箱地址,例如 admin@example.com
2.2.2验证是否生成成功
证书应该已经保存在 /usr/local/nginx/ssl/certs/nginx-selfsigned.crt(自签名证书),密钥文件保存在 /usr/local/nginx/ssl/private/nginx-selfsigned.key`(私钥文件)。在nginx去配置引导这两个文件
在企业中,一般获得域名后,域名都会自带证书,所以实际上直接将证书和私钥配置在nginx中即可。
三、配置 Nginx 启用 SSL/TLS
3.1 编辑 Nginx 配置文件
vim /usr/local/nginx/conf/nginx.conf
3.2 配置 SSL 证书路径
server {
listen 443 ssl;
server_name look.com www.look.com;
ssl_certificate /usr/local/nginx/ssl/certs/nginx-selfsigned.crt;
#指定密钥路径
ssl_certificate_key /usr/local/nginx/ssl/private/nginx-selfsigned.key;
#指定证书路径
ssl_protocols TLSv1.2 TLSv1.3;
#证书版本
ssl_ciphers TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;
#定义加密套件。可以根据安全需求选择合适的加密方法。
#openssl版本低的解决方法
#一、修改为ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;
#二、升级openssl版本
ssl_prefer_server_ciphers on;
#强制服务器优先选择加密套件。
location / {
root /usr/share/nginx/html;
index index.html;
}
}
3.3 配置 HTTP 到 HTTPS 重定向
这将使得访问 HTTP(端口 80)的请求自动重定向到 HTTPS。
server {
listen 80;
server_name benet.com www.benet.com;
return 301 https://$host$request_uri;
}
3.4 配置 HTTP/2(可选)
server {
listen 443 ssl http2;
...
}
四、强化 SSL/TLS 安全性
为了提升 SSL/TLS 配置的安全性,我们可以实施一些最佳实践。
4.1 禁用弱加密协议
推荐仅启用 TLS 1.2 和 TLS 1.3,禁用所有过时的协议,如 SSLv3 和 TLS 1.0/1.1。
ssl_protocols TLSv1.2 TLSv1.3;
4.2 启用 HTTP Strict Transport Security (HSTS)
HSTS 强制浏览器只能通过 HTTPS 访问网站。以下配置将设置最长为一年(31536000 秒)的 HSTS:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
4.3 启用更强的 Diffie-Hellman 参数
为了确保安全,使用一个更强的 Diffie-Hellman 参数。生成一个 2048 位的 DH 参数文件:
sudo openssl dhparam -out /usr/local/nginx/ssl/certs/dhparam.pem 2048
然后在 Nginx 配置中引用它:
ssl_dhparam /usr/local/nginx/ssl/certs/dhparam.pem;
4.4 配置加密套件
配置一个现代、安全的加密套件,并禁用已知的弱加密算法。例如:
ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
五、验证配置
5.1 检查 Nginx 配置
sudo nginx -t
5.2 重启 Nginx
sudo systemctl restart nginx
5.3 测试 HTTPS 配置
使用浏览器访问 https://benet.com,或使用命令:
curl -I https://look.com
总结
通过本文的详细步骤,您已经学会了如何在 Nginx 服务器上配置 SSL/TLS 证书。无论是使用 Let’s Encrypt 的免费证书还是自签名证书,都能为您的网站提供安全的 HTTPS 连接。同时,通过强化 SSL/TLS 配置,可以进一步提升网站的安全性。定期检查和更新证书是确保网站持续安全运行的重要环节。希望本指南能帮助您顺利完成 Nginx 的 SSL/TLS 配置工作。
到此这篇关于nginx配置SSL/TLS证书的实现步骤的文章就介绍到这了,更多相关Nginx配置SSL证书内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
Windows下使用 Nginx 搭建 HTTP文件服务器 实现文件下载功能
Nginx 是一款轻量级的 HTTP 服务器,采用事件驱动的异步非阻塞处理方式框架,这让其具有极好的 IO 性能,时常用于服务端的反向代理和负载均衡,这篇文章主要介绍了Windows下使用 Nginx 搭建 HTTP文件服务器实现文件下载功能,需要的朋友可以参考下2023-03-03
这篇文章主要介绍了Nginx服务器高性能优化的配置方法小结,包括一些内核参数的优化介绍,需要的朋友可以参考下2015-12-12
本篇文章主要介绍了Nginx 重定向时获取域名的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-07-07
这篇文章主要介绍了详解nginx使用ssl模块配置支持HTTPS访问,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-08-08
这篇文章主要介绍了nginx启动命令和默认配置文件的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2025-06-06
这篇文章主要介绍了linux 下nginx监控问题,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2019-09-09
这篇文章主要介绍了Nginx接收Http协议请求转发使用Https协议,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2023-06-06
LNMPA遇到504 Gateway time-out错误的解决方法
这篇文章主要介绍了LNMPA遇到504 Gateway time-out错误的解决方法,需要的朋友可以参考下2017-07-07
这篇文章主要介绍了详解用nginx+WordPress搭建个人博客全流程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-04-04
我们在工作过程中,有许多大的镜像或者安装包等,搭建一个文件服务器,可以高效的储存文件,本文就来介绍一下nginx搭建文件服务器,感兴趣的可以了解一下2023-06-06
最新评论