Nginx配置SSL相关记录

最新推荐文章于 2024-04-30 09:54:13 发布
最新推荐文章于 2024-04-30 09:54:13 发布
阅读量1.3k 收藏 1
点赞数
文章标签: nginx ssl https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Climbman/article/details/130456986
版权

通常情况下,Nginx反向代理https配置中的证书应该与转发域名一致。也就是说,当用户在浏览器中访问转发到Nginx服务器的网站时,会收到与他们正在访问的域名匹配的证书。

例如,如果将www.example.com反向代理到由Nginx服务器托管的另一个主机,则应将为www.example.com生成证书,并将其用于Nginx反向代理中的SSL/TLS终止。

但是,在某些特殊情况下,您可能需要使用通配符或多个SAN(Subject Alternative Name)证书,以便在同一个Nginx服务器上反向代理多个域名。在这种情况下,您可以使用通配符证书或SAN证书,以覆盖所有涉及到的域名。

“Listen 443 ssl http2” 是 Apache Web 服务器的配置指令,主要有以下功能:

  1. 启用 HTTPS 协议:通过配置 Listen 443 指令,Apache 就会开始监听 443 端口,从而可以为客户端提供 HTTPS 安全访问服务。

  2. SSL 加密:通过配置 ssl 关键字,Apache 就会对传输的数据进行加密处理,确保客户端与服务器之间的通信安全。

  3. 启用 HTTP/2 协议:通过配置 http2 关键字,Apache 就会启用 HTTP/2 协议,该协议相较于 HTTP/1.1 协议可以实现更快的页面加载速度、更低的延迟和更高效的资源利用率。

综上所述,“Listen 443 ssl http2” 配置指令的主要功能是为客户端提供安全的 HTTPS 访问服务,并启用 HTTP/2 协议以提高网站的性能和效率。

s e r v e r p o r t !   443 " 是一个条件语句,通常用于 N g i n x 的配置文件中。其中, " server_port !~ 443" 是一个条件语句,通常用于 Nginx 的配置文件中。其中," serverport! 443"是一个条件语句,通常用于Nginx的配置文件中。其中,"server_port” 表示客户端请求的端口号,“!~” 符号表示不匹配,“443” 表示 HTTPS 默认监听的端口号。

因此,这个条件语句的意思是:如果客户端请求的端口号不是 443,那么执行后面的指令。这个条件语句通常用于一些需要对 HTTP 和 HTTPS 请求分别进行处理的场景,比如:

  1. 将 HTTP 请求重定向到 HTTPS:如果客户端请求的端口不是 HTTPS 的默认端口 443,就可以使用这个条件语句将请求重定向到 HTTPS 端口上。

  2. 限制特定端口的访问:如果服务器上有多个应用程序在不同的端口上运行,可以使用这个条件语句限制只允许特定端口的访问,从而提高服务器的安全性。

总之,“$server_port !~ 443” 条件语句的主要作用是判断客户端请求的端口是否为 HTTPS 的默认端口,从而实现不同的处理方式。

这两句的含义
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

这两行配置是用于 Nginx 配置 SSL 加密协议和密码套件的。这里简单介绍一下这两行配置的生成过程:

  1. SSL 协议选择:首先要考虑选择哪些 SSL 协议来进行加密通讯。一般来说,推荐使用 TLSv1.2 和 TLSv1.3 这两个最新的 SSL/TLS 协议版本。

  2. 密码套件选择:在协议选择好后,需要再来选择合适的密码套件。这里可以根据应用场景和安全性要求来选择。一般来说,选用一个较为安全、具备一定兼容性的套件即可。

基于以上两点,就可以生成这两行配置了。其中,“ssl_protocols” 配置指定了 SSL 协议版本,“ssl_ciphers” 配置指定了密码套件。这两行配置的作用是保证 SSL 加密通讯的安全性和兼容性。

示例中的配置如下:

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

其中,“ssl_protocols” 配置选择了 TLSv1.1、TLSv1.2、TLSv1.3 这三个 SSL/TLS 协议版本;“ssl_ciphers” 配置选择了多种密码套件,包括 EECDH+CHACHA20、EECDH+AES128、RSA+AES128 等。这些密码套件都是在安全性和兼容性上做了一定的取舍和平衡,既能保证加密通讯的安全性,又不会影响到客户端的兼容性。

ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security “max-age=31536000”;

这几句是 Nginx 配置 SSL 加密相关的配置指令,具体用途如下:

  1. ssl_prefer_server_ciphers on:该指令表示在使用 SSL 加密时,优先使用服务器端提供的加密套件。默认情况下,客户端会优先选择自己支持的加密套件,这可能会导致使用较为弱的加密套件。开启该选项可以让服务器端优先选择强加密套件。

  2. ssl_session_cache shared:SSL:10m:该指令表示启用 SSL 会话缓存,并指定缓存区的名称、大小及存储位置等信息。通过启用会话缓存,可以提高 SSL/TLS 握手的效率,减少握手所需的计算和通讯开销。

  3. ssl_session_timeout 10m:该指令表示设置 SSL 会话的超时时间为 10 分钟。当客户端和服务器之间的连接空闲超过该时间后,会话将被关闭并从缓存中移除。通过适当设置超时时间,可以平衡会话缓存的容量和安全性需求。

  4. add_header Strict-Transport-Security “max-age=31536000”:该指令表示为响应头添加了一个 Strict-Transport-Security(STS)头部,指定了网站必须使用 HTTPS 协议并且在浏览器中缓存这个设置的最大时限为 1 年。这个指令可以防止中间人攻击,确保网站只使用 HTTPS 加密连接。

综上所述,这几条指令的作用是为 Nginx 服务器配置 SSL/TLS 加密通讯相关的参数,包括选择加密套件、优化握手效率、缓存会话等方面,进一步提高了数据传输的安全性和效率。

学习3人组
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx服务器中关于SSL的安全配置详解
09-30
主要介绍了Nginx服务器中关于SSL的安全配置详解,2014年曝出的SSL安全漏洞无疑为整个业界带来了巨大震动,本文便对此给出相关安全维护方法,需要的朋友可以参考下
nginx配置ssl加密(单/双向认证、部分https
weixin_34174322的博客
06-01 474
nginx配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番。一开始采用的是全站加密,所有访问http:80的请求强制转换(rewrite)到https,后来自动化测试结果说响应速度太慢,https比http慢慢30倍,心想怎么可能,鬼知道他们怎么测的。所以就试了...
Nginx配置SSL证书
weixin_59280309的博客
11-22 6941
Nginx配置SSL证书
Nginx使用SSL加密,配置文件各个参数的含义
thj_blog
07-07 4318
常见参数 ssl_certificate证书其实是个公钥,它会被发送到连接服务器的每个客户端 ssl_certificate_key私钥是用来解密的,所以它的权限要得到保护但nginx的主进程能够读取。 ssl_session_timeout : 客户端可以重用会话缓存中ssl参数的过期时间,内网系统默认5分钟太短了,可以设成30m即30分钟甚至4h。 sl_session_cache shared:SSL:10m; : 设置ssl/tls会话缓存的类型和大小。 ...
nignx web服务器中ssl_ciphers配置项的配置
热门推荐
aa1382525的专栏
12-05 7万+
ssl_ciphers配置项的可选值由opensslciphers定义 查看openssl支持的加密套件 opensslciphers[-v][-ssl2][-ssl3][-tls1][cipherlist] -v:详细列出所有加密套件。包括ssl版本(SSLv2、SSLv3以及TLS)、密钥交换算法、身份验证算法、对称算法、摘要算法以及该算法是否可以出口。 -ssl...
nginx配置ssl双向认证详解
远玖的博客
11-16 8166
nginx配置ssl双向认证详解 需求说明:公司内部一些业务系统对安全性要求比较高,例如mis、bi等,这些业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。 一、首先修改openssl配置的参数  ##没安装openssl需要先安装 vim  /etc/pki/tls/openssl.cnf #下面只列出配置文件中和自建C
前端nginx配置https协议
一片涟漪
10-16 720
server { # 服务器端口使用443,开启ssl, 这里ssl就是上面安装的ssl模块 listen 443 ssl; # 域名,多个以空格分开 server_name 192.168.100.100; # ssl证书地址 ssl_certificate /home/bigdata/se.
nginx ssl 配置
A_man_only的专栏
10-11 387
目录   nginx SSL模块编译 pcre zlib nginx版本号:nginx-1.14.0 openssl版本号:OpenSSL 1.1.1 安装 nginx ssl证书生成 nginx ssl配置 nginx SSL模块编译 nginx版本号:nginx-1.14.0 cd /usr/local/ http://nginx.org/download/nginx...
Nginx 如何配置 SSL
HONEY MOOSE
05-08 937
SSL 是目前网站的标配了,如果你还需要使用 Google 或者 Apple 的服务的话,你的网站要求必须使用 SSLNginx 配置需要的文件 Niginx 配置需要 2 个文件。 Key 文件 Crt 文件 Key 文件是你自己生成的,或者使用 SSL 签发网站使用的 key 文件。 Crt 是 CA 机构根据你提供的 Key 文件通过校验后签发给你的,你需要将 Key 和 Crt 文件同时安装到的你的 Nginx 服务器上。 Nginx 配置路径 如果你为你的站点配置了虚拟服务器的话
Nginx 配置SSL证书
学英语的程序员
10-12 4286
Nginx 配置SSL证书
nginx配置ssl证书实现https访问的示例
01-09
主机记录这里选择@,记录值就是服务器ip地址,确认。 三,申请ca证书 在阿里云控制台-产品与服务-安全(云盾)-CA证书服务(数据安全),点击购买证书, 选择“免费版DV SSL”,点击立即购买: 然后点去支付: 最后...
Linux 按照部署 Nginx 服务器 及相关依赖 - Nginx 配置讲解
07-10
以下是Nginx配置的一般描述: 1. 服务端口和服务器块:配置Nginx监听的端口和定义服务器块。服务器块可以包含多个指令,用于配置虚拟主机、域名解析等。 2. HTTP协议配置:在HTTP块中配置Nginx的行为,如请求头...
记录nginx配置https证书及静态资源配置以及docker环境下的配置
01-07
我用的是centos7宿主机nginx配置,之后会在另一台服务器尝试docker下的的nginx配置。 centos7下安装nginx可以参考这篇文章 ubuntu下安装nginx可以参考这篇文章 通过yum在宿主机安装好nginx并启动后,打开/etc/nginx...
如何为Nginx配置免费证书的https
11-10
毕竟这是为了使用者及平台都变得安全的方式,所以无可厚非的,而且也有很多网站即使不使用商业付费证书也可以免费申请自己网站的ssl证书的。所以这种方式只是作为一种记录和参考或者可以在某些老版本或者个别浏览器...
nginx下载安装配置(含ssl)
最新发布
qq_36854073的博客
04-30 140
【代码】nginx下载安装配置(含ssl)
公网ip申请ssl仅260
04-29 356
现在市面上的IP SSL证书大多数都是DV基础型的IP SSL证书,例如Certum旗下的DV基础型单IP SSL证书,价格是二百六十元,用户在申请时不需要提供额外的资料,只需要验证公网IP地址的管理权就可以在3-5分钟颁发证书。1.IP SSL证书通常用于保护使用IP地址访问的网站,而不是使用域名访问的网站。IP SSL证书通常只能保护单个公网IP地址,例如Certum旗下的单IP SSL证书,但是也有可以同时保护多个公网IP地址的IP SSL证书,例如Sectigo旗下的多IP SSL证书。
boot https ssl 使用http协议访问报错
I do more ,you do less
04-27 387
在springboot中配置ssl以后, 再次使用http访问对应的接口就会报错。可以考虑如下设置,将http访问的端口重定向到https对应的端口。
关于SSL加密,您应该知道什么?
网络安全服务提供商
04-26 575
客户端验证证书的有效性后,会生成一个随机的会话密钥,并使用服务器的公钥进行加密,然后发送给服务器。之后,所有的通信数据都会通过这个加密通道进行传输,确保数据的安全性和完整性。此外,SSL加密还能验证服务器的身份,有效防止钓鱼网站的攻击。SSL加密,全称为安全套接字层加密,是一种网络安全协议,主要用于在网络通信中提供隐私和数据完整性。因此,在使用SSL加密时,我们需要保持警惕,并采取一系列的安全措施。总的来说,SSL加密是一种强大的网络安全技术,它能够在很大程度上保护我们在网络中的隐私和数据安全。
日期操作类 + http、https 请求工具类 + 开发环境 忽略 SSL 验证工具类 + 二维码工具类
happyxin_的博客
04-26 559
【代码】日期操作类。
nginx配置阿里云ssl
07-09
您好!为了在阿里云上配置 SSL 证书,您可以按照以下步骤进行操作: 1. 购买 SSL 证书:您可以在阿里云的 SSL 证书服务中购买合适的证书。选择适合您需求的证书类型,并根据您的域名进行验证和申请。 2. 下载证书文件:一旦您的证书审核通过并签发完成,您将获得一个证书文件和一个私钥文件。请确保将这两个文件下载到您的服务器上,以便进行配置。 3. 配置 Nginx:登录到您的服务器上,找到 Nginx配置文件。通常位于 `/etc/nginx/nginx.conf` 或 `/etc/nginx/conf.d/default.conf`。 4. 打开配置文件,并找到您要配置的域名对应的 server 部分。 5. 在 server 部分中,添加以下配置: ``` server { listen 443 ssl; ssl_certificate /path/to/your/certificate.crt; ssl_certificate_key /path/to/your/private_key.key; server_name your_domain.com; ... 其他配置项 ... } ``` 将 `/path/to/your/certificate.crt` 替换为您下载的证书文件的路径,将 `/path/to/your/private_key.key` 替换为您下载的私钥文件的路径,将 `your_domain.com` 替换为您的域名。 6. 保存并关闭配置文件。 7. 检查配置文件是否有语法错误:在终端中运行 `nginx -t` 命令,如果没有报错,说明配置文件语法正确。 8. 重启 Nginx:在终端中运行 `service nginx restart` 命令,以使配置生效。 现在,您的 Nginx 配置中已包含 SSL 证书,您的网站就可以通过 HTTPS 进行访问了。请确保您的域名的 DNS 记录已经正确指向您的服务器。 注意:在进行任何配置更改之前,请确保已经备份了原始的配置文件,以防止意外情况发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值