Nginx HTTPS 配置

最新推荐文章于 2024-07-23 07:21:18 发布
最新推荐文章于 2024-07-23 07:21:18 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: Nginx

我一度以为只要可以通过https访问网站SSL就算配置完成了,但前几天网友反馈说移动设备下出现证书错误,我还以为是刚配置完缓存的原因,后来自己查了一些资料,发现虽然自己的网站可以通过https访问了,但还有一些参数没有配置,造成了一些旧设备上出现证书错误。

通过下面这个地址可以检测你的证书情况

https://www.ssllabs.com/ssltest/index.html

一开始我的检测结果C,分数也比较低,重新配置后,duang~ 达到了A+。

HTTPS 评分

下面说下配置中的一些参数,和可能出现的错误。

启用ssl

一般来说在你证书签发后,如下配置就可以通过https访问了

server {
    listen              443 ssl;
    server_name         www.example.com;
    ssl_certificate     www.example.com.crt;
    ssl_certificate_key www.example.com.key;
    ...
}

如果这通过https访问长时间没有响应,检查下自己的443端口是否开启。

dhparam

执行下列命令

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

然后在配置文件中加入

ssl_dhparam /etc/nginx/ssl/dhparam.pem;

注意文件路径要和你的一致

ssl_protocols和ssl_ciphers

SSLv3是有漏洞的,所以不应该启用这货,并启用启用向前保密。

ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

session resumption

ssl_session_cache shared:SSL:50m;
ssl_session_timeout 5m;

ocsp stapling

resolver 8.8.8.8;
ssl_stapling on;
ssl_trusted_certificate /etc/nginx/ssl/example_com.crt;

HSTS

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";

includeSubdomains为可选参数,如果你的子域名没证书,不要添加这个参数。max-age为过期时间,不到设置的过短。

几个错误

the chain is incomplete
出现这个问题主要是crt里的证书不全,以comodo为例,需要使用3个证书,当你少添加的时候会出现这个问题。

Chain issues – Contains anchor

删掉第一个root证书即可

完整HTTPS配置文件

一定要注意证书的路径,不要直接复制使用

server {
  listen 443 ssl default deferred;
  server_name example.com;
  ssl_certificate /etc/nginx/ssl/example_com.crt;
  ssl_certificate_key /etc/nginx/ssl/example_com.key;
  ssl_session_cache shared:SSL:50m;
  ssl_session_timeout 5m;
  ssl_dhparam /etc/nginx/ssl/dhparam.pem;
  ssl_prefer_server_ciphers on;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
  resolver 8.8.8.8;
  ssl_stapling on;
  ssl_trusted_certificate /etc/nginx/ssl/example_com.crt;
  add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
 
  # ... the rest of your configuration
}

强制HTTPS

一般来说,只需要开启HSTS 即可,如需强制则将80端口301到https

server {
    listen 80;
    return 301 https://$host$request_uri;
}
black_OX
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx ssl证书配置
学海无涯,我用JAVA
03-11 2224
linux服务器nginx配置ssl证书。至此 已经可以成功通过域名访问到服务器的页面了~~
nginx 配置ssl配置文件内容
知识的灯塔,梦想的航船
11-19 2810
server { listen 443 ssl; server_name www.langmanezhuang.com; # 改为绑定证书的域名 # ssl 配置 #ssl on; ssl_certificate 1_langmanezhuang.com_bundle.crt; # 改为自己申请得到的 crt 文件...
怎样在 Nginx配置基于请求客户端证书的访问控制?
最新发布
2401_86074221的博客
07-23 705
通过在 Nginx配置基于请求客户端证书的访问控制,我们为网络服务增添了一层强大的安全防护。就像为我们的城堡筑起了高高的城墙,让不法之徒难以入侵。随着网络安全威胁的不断变化和发展,我们需要不断学习和更新我们的安全策略。Nginx 也在不断发展和改进,未来可能会提供更强大、更灵活的访问控制功能,我们要紧跟技术的步伐,为我们的网络世界打造一个坚不可摧的堡垒。希望这篇文章能够帮助您成功地在 Nginx配置基于请求客户端证书的访问控制,让您的网络服务更加安全可靠。
nginx配置ssl证书
热门推荐
m0_52457734的博客
02-25 3万+
阿里云申请ssl证书
Nginx配置ssl证书
月明海沧
11-11 1660
1.下载证书 在ssl证书管理界面下载对应于Nginx的证书。 下载的Nginx证书压缩文件解压后包含: .pem:证书文件。PEM文件的扩展名为CRT格式。 .key:证书的密钥文件。申请证书时如果未选择自动创建CRS,则下载的证书文件压缩包中不会包含.key文件,需要您将自己手动常见的私钥文件拷贝到cert目录下。 2.更改nginx设置 在nginx安装目录下新建cert目录存储ngin...
Nginx 配置 SSL证书
程序猿进阶
02-10 1万+
成功配置SSL证书后,您将能够通过HTTPS加密通道安全访问Nginx服务器。
nginx https 配置
11-23
"nginx https 配置"这个主题涉及到的是如何在Nginx上设置HTTPS服务,以实现网站的安全访问。HTTPS是HTTP协议的安全版本,通过使用SSL/TLS协议来加密数据传输,确保用户与服务器之间的通信不被中间人攻击。 首先,...
nginx图片服务器配置https配置
07-24
nginx图片服务器配置https配置
nginx配置ssl配置文件.conf
01-18
linux下nginx配置ssl,配置内网ip访问,配置内网域名访问。配置相同网站http重定向到https
记录nginx配置https证书及静态资源配置以及docker环境下的配置
01-07
我用的是centos7宿主机nginx配置,之后会在另一台服务器尝试docker下的的nginx配置。 centos7下安装nginx可以参考这篇文章 ubuntu下安装nginx可以参考这篇文章 通过yum在宿主机安装好nginx并启动后,打开/etc/nginx...
nginx配置https证书(nginx-docker版本)
qq_44796093的博客
06-20 724
【代码】nginx配置https证书。
Nginx配置SSL证书
krb___的博客
03-25 3886
SSL(Secure Sockets Layer)是一种用于保护在Internet上进行数据传输的加密协议。它是一种为网络通信提供安全性的协议,最初由网景公司(Netscape)开发。SSL的目标是通过对数据进行加密和身份验证,确保敏感信息在用户与网站之间的传输中得到保护。SSL通过在通信的两端之间建立安全的连接来实现其目标。这个安全连接使得通过互联网传输的数据在被发送和接收时都是加密的,从而防止第三方拦截和窃取敏感信息。
免费申请Let's Encrypt HTTPS 证书
虎头茉莉的专栏
06-25 447
背景知识 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种透过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完...
Nginx 域名证书 Http 和 Https 详细配置
qq_43108153的博客
03-05 1471
nginx域名证书配置
nginx https配置
04-24
好的,关于nginxhttps配置,您可以采用以下步骤: 1. 首先,您需要去购买一个SSL证书。您可以去CA机构或者SSL证书代理商购买。购买之后,您需要将证书下载到您的服务器上。 2. 然后,在您的nginx配置文件中添加以下配置: server { listen 443 ssl; server_name your_domain.com; #替换成您的域名 ssl_certificate /path/to/your_domain.crt; #替换成您下载的证书路径 ssl_certificate_key /path/to/your_domain.key; #替换成您的私钥路径 ssl_session_timeout 5m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"; ssl_prefer_server_ciphers on; ssl_dhparam /etc/nginx/ssl/dhparam.pem; ssl_session_cache shared:SSL:10m; location / { #添加您的网站配置 } } 3. 最后,重新加载您的nginx配置文件即可。您可以使用以下命令来检查您的nginx配置文件是否正确: nginx -t 希望这可以帮助到您。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值