学习Nginx(十四):配置SSL/TLS支持HTTPS

已于 2024-06-03 10:05:53 修改
阅读量879 收藏 14
点赞数 17
分类专栏: 学习Nginx 文章标签: 学习 nginx ssl
于 2024-05-25 07:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45081413/article/details/139161934
版权

概念

  1. SSL/TLS:安全套接字层(SSL)及其继任者传输层安全性(TLS)是为网络通信提供安全及数据完整性的一种安全协议。它们通过在应用程序协议(如HTTP)与TCP/IP协议族之间提供数据加密封面,来为客户端和服务器之间的通信提供加密。
  2. 证书:由证书颁发机构(CA)签发的电子文件,用于验证服务器或客户端的身份。证书包含公钥、颁发者、有效期等信息。
  3. 密钥:在SSL/TLS通信中,有两种主要类型的密钥:公钥和私钥。私钥用于对数据进行加密和对由公钥加密的数据进行解密,而公钥则用于对数据进行解密和对由私钥加密的数据进行加密。
  4. 证书链验证:客户端验证服务器证书的有效性时,会沿着证书链从服务器的证书开始,一直验证到受信任的根证书颁发机构(CA)。这确保服务器证书是由受信任的CA签发的,并且没有被篡改。
  5. 会话恢复:在SSL/TLS通信中,会话恢复是一种优化性能的技术,它允许客户端和服务器在重新建立连接时重用先前的会话参数(如密钥和加密算法),从而减少了握手过程所需的时间和资源。

SSL证书

  • 若在生产环境中使用,请从SSL证书供应商处获取。
  • 本次测试使用自行创建SSL证书。
# 安装工具,默认情况下是已安装。
[root@RockyLinux9 ~]# dnf install -y openssl
[root@RockyLinux9 ~]# cd /usr/local/nginx/conf/


# 创建自签名证书
[root@RockyLinux9 conf]# openssl req -x509 -newkey rsa:2048 -keyout linuxjsz.com.key -out linuxjsz.com.crt -nodes -days 365
[root@RockyLinux9 conf]# ls linuxjsz.com.*
linuxjsz.com.crt  linuxjsz.com.key

检查nginx

  • 确认已经安装和配置了nginx。
  • 检查安装模块,包含 --with-http_ssl_module 。
[root@RockyLinux9 conf]# nginx -V

配置nginx

  • 修改配置文件
[root@RockyLinux9 conf]# vim nginx.conf
# 启用http块中的HTTPS server段
http {


    ...
    
    # HTTPS server
    server {
        listen       443 ssl;
        server_name  linuxjsz.com;
        
        # 配置证书路径
        ssl_certificate      /usr/local/nginx/conf/linuxjsz.com.crt;
        ssl_certificate_key  /usr/local/nginx/conf/linuxjsz.com.key;


        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;


        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;


        location / {
            root   html;
            index  index.html index.htm;
        }
    }
}
  • 加载配置文件
[root@RockyLinux9 conf]# nginx -s reload
  • 访问Web

配置80端口自动跳转443

  • 修改配置文件
[root@RockyLinux9 conf]# vim nginx.conf
http {


    server {
        listen       80;
        server_name  linuxjsz.com;
        # 添加如下语句
        return 301 https://$host$request_uri;
  }
    
    # HTTPS server
  ...
}
  • 加载配置文件
[root@RockyLinux9 conf]# nginx -s reload
  • 此时访问http://linuxjsz.com会自动跳转到https://linuxjsz.com页面。

SSL常用配置参数

  • ssl_buffer_size
    • 描述:设置 SSL 读/写缓冲区的大小。
# 语法
ssl_buffer_size size;
# 默认值
ssl_buffer_size 16k;
  • ssl_certificate
    • 描述:指定 SSL 证书文件的位置。
# 语法
ssl_certificate file;
# 示例
ssl_certificate     example.com.rsa.crt;
  • ssl_certificate_key
    • 描述:指定 SSL 私钥文件的位置。
# 语法
ssl_certificate_key file;
# 示例
ssl_certificate_key example.com.rsa.key;
  • ssl_ciphers
    • 描述:指定启用的加密套件列表。也可以自定义列表以满足特定的安全需求。
# 语法
ssl_ciphers ciphers;
# 默认值
ssl_ciphers HIGH:!aNULL:!MD5;
  • ssl_protocols
    • 描述:指定启用的 SSL/TLS 协议版本。
# 语法
  ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3];
# 默认值
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
  • ssl_prefer_server_ciphers
    • 描述:设置为 on,则使用服务器提供的加密套件优先于客户端提供的,以增强安全性。
# 语法
ssl_prefer_server_ciphers on | off;
# 示例
ssl_prefer_server_ciphers off;
  • ssl_session_cache
    • 描述:指定 SSL 会话缓存的类型、大小和时间。
# 语法
ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
# 默认值
ssl_session_cache none;
# 示例
ssl_session_cache shared:SSL:10m;
  • ssl_dhparam
    • 描述:指定 DH(Diffie-Hellman)参数文件的路径。
# 语法
ssl_dhparam file;
# 默认值
ssl_dhparam /path/to/dhparam.pem;
  • ssl_session_timeout
    • 描述:指定客户端可以重新使用 SSL 会话参数的时间长度。
# 语法
ssl_session_timeout time;
# 默认值
ssl_session_timeout 5m;

了解更多,请访问官方说明:

http://nginx.org/en/docs/http/ngx_http_ssl_module.html

分享、在看与点赞
👇只要你点,我们就是胖友👇

来自: 学习Nginx(十四):配置SSL/TLS支持HTTPSicon-default.png?t=N7T8https://mp.weixin.qq.com/s/CNcqRAVWYyb6YnQ6iGW3nQ

Linux技术宅
关注
  • 17
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
如何在Nginx配置SSL/TLS
06-18
Nginx(发音为“engine-x”)是一个高性能的HTTP和反向代理服务器,它以高性能... - Nginx支持SSLTLS协议,可以安全地代理HTTPS请求。 6. **模块化设计**: - Nginx的模块化设计允许开发者根据需要添加或修改功能。
SSL/TLS加密:Nginx的网络安全之盾
最新发布
07-08
4. **SSL/TLS终端**:Nginx支持SSLTLS协议,可以作为SSL终端,为HTTP流量提供加密。 5. **模块化设计**:Nginx具有模块化的设计,可以通过添加第三方模块来扩展其功能。 6. **缓存机制**:Nginx支持HTTP缓存,可以...
Nginx开启TLS双向认证流程及配置
ChinaCpp666的博客
05-28 1640
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
nginx 配置 TLS 加密方式 、密钥交换方式
ITxiaozhang7的博客
01-21 3939
设置nginx 的加密方式、采用的椭圆曲线
nginxTLS1.3配置
enjoy.day
11-29 8149
配置TLS1.3 环境: nginx 1.20 openssl 1.1.1l 如果查看openssl支持的ciphers 使用命令openssl ciphers 如何查看openssl支持的所有TLS/SSL版本: penssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}' 配置tls1.3 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #增加 TLSv1.3 ssl_cipher
Nginx配置SSL证书
krb___的博客
03-25 3422
SSL(Secure Sockets Layer)是一种用于保护在Internet上进行数据传输的加密协议。它是一种为网络通信提供安全性的协议,最初由网景公司(Netscape)开发。SSL的目标是通过对数据进行加密和身份验证,确保敏感信息在用户与网站之间的传输中得到保护。SSL通过在通信的两端之间建立安全的连接来实现其目标。这个安全连接使得通过互联网传输的数据在被发送和接收时都是加密的,从而防止第三方拦截和窃取敏感信息。
Nginx SSL/TLS配置:搭建安全的HTTPS网站
Dxy1239310216的博客
05-23 788
Nginx作为一款高性能的HTTP和反向代理服务器,支持SSL/TLS协议,使得我们可以轻松地搭建安全的HTTPS网站。下面,我们将详细介绍如何在Nginx配置SSL/TLS,以搭建一个安全的HTTPS网站。此外,你还可以使用在线的SSL检测工具(如SSL Labs的SSL Test)来检查你的HTTPS配置是否安全。如果一切正常,你应该能看到一个绿色的地址栏,表示你的网站已经成功启用了HTTPS。现在,你可以通过浏览器访问你的网站,并使用HTTPS协议(即使用。
Nginx 配置 SSLHTTPS)详解
小楼一夜听春雨,深巷明朝卖杏花
04-25 5760
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
详解nginx使用ssl模块配置支持HTTPS访问
09-30
**详解Nginx使用SSL模块配置支持HTTPS访问** 在当今互联网环境中,为了保障用户数据的安全传输,HTTPS(HTTP over SSL/TLS)已经成为网站标准配置。本文将详细介绍如何使用NginxSSL模块来配置HTTPS访问,以满足...
详解nginx使用ssl模块配置HTTPS支持
09-30
Nginx,作为一个高性能的HTTP和反向代理服务器,支持SSL/TLS协议,可以用于配置HTTPS服务。下面我们将详细讲解如何使用NginxSSL模块来配置HTTPS支持。 首先,**安装SSL模块**。默认情况下,Nginx安装时不包含SSL...
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
SSL/TLS协议详解以及配置实战
swadian2008的博客
04-17 9235
SSL/TLS协议是一种安全通信协议,用于在计算机网络上保护数据传输的机密性、完整性和身份验证。SSL代表安全套接字层(Secure Socket Layer)TLS代表传输层安全性(Transport Layer Security),它是SSL的继任者。// 实际上还是非对称加密的算法客户端发送一个SSL/TLS连接请求到服务器。服务器发送一个数字证书给客户端。数字证书包含服务器的公钥和其他信息。客户端验证数字证书,以确保证书来自可信的证书颁发机构,没有被篡改。
Laykefu客服系统 任意文件上传漏洞,2024年最新34岁程序员年薪50w
2401_83739632的博客
04-15 351
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
Nginx TLS 1.3 简介与部署
浴血重生-学习空间
08-19 7571
TLS 1.3 相对于之前的版本,主要有两大优势: Enhanced security: 安全性增强 Improved speed:速度提升
一文讲懂Nginx常用配置及和基本功能
网络技术联盟站
06-02 1706
Nginx(发音同engine x)是一款轻量级的Web服务器、反向代理服务器和负载均衡器,由俄罗斯程序员Igor Sysoev开发。Nginx的设计目标是高性能、高并发、高可靠、低资源消耗,可以作为Web服务器、反向代理服务器和负载均衡器使用。Nginx现已成为Internet上访问量最大的网站之一,据统计,截至2023年5月份,Nginx在全球占据了39%的市场份额。本文介绍了Nginx的基本功能和常用配置,包括静态文件处理、CGI脚本支持、反向代理、负载均衡、SSL/TLS支持等。
介绍NginxSSL/TLS加密支持功能,并学习怎么使用
LJH_java10086的博客
10-09 523
在本文中,我们将介绍如何使用NginxSSL / TLS加密支持功能,同时使用Java编写一个简单的Web应用程序来测试SSL / TLS加密。例如,如果你的Nginx服务器的IP地址是`192.168.0.1`,则可以通过访问`https://192.168.0.1`来获取Java生成的SSL / TLS加密的内容。2. 配置NginxSSL / TLS支持:在Nginx配置文件(通常是nginx.conf)中,你需要添加SSL / TLS支持配置项。你需要将它们保存在安全的地方。
配置SSL/TLS以启用HTTPS加密通信
qq_44539748的博客
07-09 1616
本教程将介绍如何生成SSL证书,配置Nginx以使用SSL/TLS,并启用HTTPS。在本教程中,我们学习了如何配置Nginx支持SSL/TLS,并启用HTTPS来提供加密通信。在上述命令中,您需要将/path/to/private.key和/path/to/certificate.crt替换为您要生成证书的路径和文件名。在上述配置中,将/path/to/certificate.crt和/path/to/private.key替换为您生成的SSL证书的路径和文件名。首先,我们需要生成SSL证书。
Nginx实现tcp代理并支持TLS加密实验
向往天空的鱼
11-08 2470
nginx代理tcp服务,实现客户端与服务器之间的TLS加密。
如何启用SSL/TLS加密
05-01
要启用SSL/TLS加密,需要在Web服务器上进行配置。以下是一些通用的步骤: 1. 获取SSL/TLS证书:您需要获取证书,这可以通过购买或使用免费证书来完成。免费证书可以通过 Let's Encrypt 等服务提供商获得。 2. 安装证书:将证书文件安装到您的Web服务器上。每个Web服务器的安装方式可能不同。 3. 配置Web服务器:您需要在Web服务器上配置SSL/TLS。这可以通过修改Web服务器的配置文件来完成。对于Apache Web服务器,可以使用“mod_ssl”模块来启用SSL/TLS,而对于Nginx Web服务器则可以使用“ssl”指令。 4. 重启Web服务器:完成配置后,需要重启Web服务器以使更改生效。 5. 检查配置是否正确:确保您的Web服务器正在使用SSL/TLS加密。可以使用SSL检查工具,如Qualys SSL Labs的SSL检查工具,来验证您的配置是否正确。 请注意,这些步骤可能因不同的Web服务器和操作系统而有所不同。因此,建议查看您的Web服务器和操作系统的文档以获取更详细的说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Linux技术宅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值