nginx配置防恶意解析+集群模式下没加证书SSL的域名通过https访问错误的指向其它域名的证书解决办法

最新推荐文章于 2024-05-07 22:53:53 发布
最新推荐文章于 2024-05-07 22:53:53 发布
阅读量585 收藏 1
点赞数 1
文章标签: nginx https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhonggenchang/article/details/131101748
版权

普遍遇到的问题:

1. 情况一:nginx网站被别人的域名恶意解析指向我的网站上,且这个恶意解析的域名没有备案,通信管理局查到后会对网站进行关停处理。

 2. 情况二:为了节省公网IP,大家在一个 nginx下经常会放多个网站共用一个出口,比如:www.c.com、www.d.com、www.e.com等,如果 www.d.com 需要配置证书,其它的域名没有购买证书。此种情景下,有证书的域名 https://www.d.com 可以正常使用,但如果访问未部署证书的其它域名如 https://www.c.com 或 https://www.e.com,会自然获取 https://www.d.com 的域名证书,这样访问就有问题了。

针对上面2种情况的问题,我们只要对 nginx 安装目录下的 conf 文件进行配置即可,在这里配置的主要目的就是设置一个默认的 default_server 来接管并处理上面2种问题。配置如下:

server {
	listen 80 default_server; #监听80端口
	listen 443 ssl default_server; #监听443端口
	server_name  _;	#防止恶意域名
	#让没证书SSL的域名,通过https访问时跳回80端口上
	if ($server_port ~ 443) {    
		return 301 http://$host$request_uri;
	}
	#对恶意解析的域名返回404状态码
	return 404;
	#说明:上面有2个return操作,这个顺序千万不要错,否则达不到效果。
	
	#CA
	ssl_certificate /CA/申请的一个普通证书.crt;
	ssl_certificate_key /CA/申请的一个普通证书.key;

	ssl_session_timeout  5m;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-R
SA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES12
8-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
	ssl_prefer_server_ciphers on;

	#hidden nginx version
	server_tokens off;
	error_page   500 502 503 504  /50x.html;
	location = /50x.html {
			root   html;
	}
}

web share
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
Nginx 域名SSL证书配置(网站 http 升级为 https)
09-29
主要介绍了Nginx 域名SSL证书配置(网站 http 升级为 https),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nginx服务器没有配置SSL的网站通过https访问时,会跳转访问其他https的网站
weixin_46044420的博客
06-08 1464
引言:测试的时候 突然遇到这个问题 ,度娘了一些解决办法,参考了博文:nginx服务器没有配置SSL的网站通过https访问时,会跳转访问其他https的网站 的解决办法 ,再此记录一下,以便查看 在项目配置文件中:加入如下配置 上面的代码实现的效果是,如果用https访问 ,会直接调转到http下面 特别注意 要配置下 下面的ssl 随便搞个有证书的就可以 ,不然保存不了 会提示 没有证书...
nginx恶意域名解析与反代80与443端口完整版
02-19 2786
1、80端口止反代比较容易,在nginx上加入如下配置即可。 server { listen 80 default_server; return 444; } 2、443端口配置则需要配置ssl证书,否则所有https请求都会失败,下面是颁发自签名证书配置过程。 (1)首先确保机器上安装了openssl和openssl-devel,没有的话...
Nginx限制非法域名恶意解析到本地服务器和IP访问网站
bjgaocp的博客
02-25 1341
根据访问网站http协议原理,如果一个域名,例www.aaa.com 解析到你的web服务器IP地址上,通过这个域名访问,ip会被解析到你的web服务器上,然后Nginx会判断虚拟主机有没有这个域名,如果没有则交给第一个虚拟主机提供服务,也就是返回第一个虚拟主机的网站。我们就利用这个Http原理进行访问控制。 server { listen 80 default_server; server_na...
Nginx 止别人将域名解析到你的网站方法 —— 筑梦之路
筑梦之路
07-13 1309
域名转移: 当某人决定将自己的域名从一个托管服务提供商转移到另一个托管服务提供商时,他们可能会将域名暂时解析到你的网站上,以确保在转移过程中网站仍然可访问。攻击: 恶意用户可能会将他们控制的域名解析到你的网站上,以试图通过钓鱼、欺诈或其他恶意行为来攻击你的网站的用户。测试: 有些人可能会将他们的域名解析到你的网站上,以测试域名解析和其他相关设置的正确性。
nginx止别人域名恶意解析到服务器 和 网页被frame的方法
IT小学生
04-17 1168
修改nginx配置文件:nginx.conf #别人域名恶意解析到服务器 server { server_name _; access_log off; return 500; } #网页被frame server { listen 443 ssl; server_name www.jianlisc.com ssl_certif...
nginx配置ssl访问后会跳转默认站点问题
oraclechaozi的专栏
08-01 310
ssl_certificate 和 ssl_certificate_key 替换为自己的即可,证书可以是过期的,只要不让他报错就行。解决方案:可以再nginx.conf 配置文件里增加一个server。
解决Nginx同服务器下未配置SSL站点访问默认站点的问题
小飞的博客
08-05 1407
解决Nginx同服务器下未配置SSL站点访问默认站点的问题 描述 Nginx访问配置SSL站点的时候会先访问默认配置SSL的站点。距离A站点配置SSL,B站点未配置,此时访问B站点的HTTPS则会显示A站点的内容,对于这个问题,官方的说法是:【在未指定SSL默认站点时,未开启SSL的站点使用HTTPS会直接访问到已开启SSL的站点】。但是即使设置了默认站点,还是存在这个问题。 解决方案- - -defalut_server指令 首先了解nginx的查找规则,第一次...
nginx证书代理http/https协议两种解决方案——筑梦之路
热门推荐
筑梦之路
12-01 1万+
原理:一般的nginx代理https请求是需要配置ssl证书信息的,走的是七层协议,而stream模块走的是四层协议,在没有第三方证书的情况下一般的nginx代理是无法满足需求的。 操作系统:centos7 nginx版本:1.9.9 nginx官网不同版本下载地址:http://nginx.org/download/ 模块下载:https://github.com/openresty 官网说明: http://nginx.org/en/docs/stream/ngx_stream_core_mo
Ngnix:恶意域名解析
奋斗鱼
05-05 1152
通过nginx部署的网站,默认没有设置主机头,可以通过IP或其他未在配置文件中指定的域名访问,这有可能会导致恶意域名指向到我们服务器IP地址。 而根据工信部备案系统判定原则,如有非法域名恶意指向用户主机并且网站访问状态为未有效关闭,则此类非法域名将判定为用户接入,用户须负责清理。也就是说,如果不处理的话,我们的服务器IP有可能被关闭处理。 下面介绍如何清理恶意域名解析。 打开nginx目录下的nginx.conf文件,在正常网站配置节点前面,添加一段限制配置即可。 #此处添加限制,止未配置的恶
nginx配置ssl证书实现https访问的示例
01-09
在阿里云控制台-产品与服务-云解析DNS-找到需要解析域名点“解析”,进入解析页面后选择【添加解析】按钮会弹出如下页面: 主机记录这里选择@,记录值就是服务器ip地址,确认。 三,申请ca证书 在阿里云控制台-...
详解Nginx配置SSL证书实现Https访问
01-10
基本架构是硬负载(ReadWhere)+ 软负载(Nginx)+ Tomcat集群,现在的问题是SSl证书配置在哪里,直接配置在硬负载上?还是分别配置Nginx和Tomcat上?还是其他的配置方法呢? 首先在硬负载上配置放弃了,然后...
配置nginx只允许域名访问,禁止ip访问【图文教程】
IT_Most的博客
09-25 4380
实现了nginx只允许某一个域名进行访问,不允许ip或其他绑定到nginx公网ip的域名访问。详解如下:
nginx配置域名恶意解析
qq_25475209的博客
07-14 4042
前几发生一件事情,就是通过nginx日志发现有一个域名恶意指向到了我的服务器,大家可以去查查域名恶意解析可能会造成的危害。由于我是用的nginx配置了一个反向代理,所以直接配置nginx就可以实现域名恶意解析的问题了。首先打开我们的nginx配置文件nginx.conf,然后加入如下配置server { listen 80 default_server; server_name...
nginx隐藏版本号server_tokens
weixin_34413065的博客
10-14 1万+
安全优化-隐藏版本号server_tokensSyntax: server_tokens on | off | build | string;Default: server_tokens on;Context: http, server, location在主配置文件nginx.conf、虚拟主机的配置文件中配置,选一个配置即可官方文档地址:http://nginx.o...
NginxNginx配置加固之阻止恶意域名访问
cnskylee的博客
05-08 3714
【问题背景】 一般一个大型的互联网站点都会有一个域名(比如:www.aaa.com、www.bbb.com.cn),这个域名在申请的时候,必须向工信部备案。此外,这个域名会绑定一个或者多个公网IP(国内一般需要向三大运营商购买)。这个公网IP一般用的是80端口,并且公网的IP和80端口,会映射到内网的一个IP地址(负载的IP+端口),然后负载后面会挂N个内网应用服务器的地址。这样公网的用户就可以通过这个域名访问内网的应用了。 比如,我们日常使用的微软的搜索引擎(cn.bing.com)
nginx配置ssl证书实现https
u014627852的博客
06-01 3093
服务器系统:centos6 服务器IP地址:0.0.0.0 域名:bjubi.com 二,域名解析到服务器 在阿里云控制台-产品与服务-云解析DNS-找到需要解析域名点“解析”,进入解析页面后选择【添加解析】按钮会弹出如下页面: 主机记录这里选择@,记录值就是服务器ip地址,确认。 三,申请ca证书 在阿里云控制台-产品与服务-安全(云盾)-CA证书服务(数据安全),点击购买证书, 选择“免费版DV SSL”,点击立即购买: 然后点去支付: 最后确认支付: 就会回到管理界面: 点击“补全”,.
【Linux】HTTPS
最新发布
cefler的博客
05-07 1016
【Linux】HTTPS🌙
nginx配置ssl证书实现https访问接口服务
09-01
要在nginx配置SSL证书实现HTTPS访问接口服务,需要按照以下步骤进行操作。 首先,你需要选择一个可信的SSL证书提供商,并从该提供商那里获取到你的SSL证书文件。这个证书文件包括公钥和私钥。通常会有一个.crt...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web share

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值