So konfigurieren Sie SSL in Nginx

WBOY
Freigeben: 2023-05-12 17:58:24
nach vorne
6683 Leute haben es durchsucht

Einseitiges SSL-Konfigurationsbeispiel:

server{
    listen 443 ssl;
    server_name www.123.com;
    root /data/wwwroot/www.123.com/ ;
    index index.html ;
    ssl_certificate server.crt;
    ssl_certificate_key server.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
    ssl_prefer_server_ciphers on;
    location / {
    }
}
Nach dem Login kopieren

Konfigurationsanweisungen:

1. 443端口为ssl监听端口。
2. ssl on表示打开ssl支持。
3. ssl_certificate指定crt文件所在路径,如果写相对路径,必须把该文件和nginx.conf文件放到一个目录下。
4. ssl_certificate_key指定key文件所在路径。
5. ssl_protocols指定SSL协议。
6. ssl_ciphers配置ssl加密算法,多个算法用:分隔,ALL表示全部算法,!表示不启用该算法,+表示将该算法排到最后面去。
7. ssl_prefer_server_ciphers 如果不指定默认为off,当为on时,在使用SSLv3和TLS协议时,服务器加密算法将优于客户端加密算法。
Nach dem Login kopieren

Hinweis:

nginx aktiviert das SSL-Modul standardmäßig nicht während der Quellcode-Installation. Der Installationsbefehl lautet wie folgt folgt:

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
Nach dem Login kopieren
make && make install
Nach dem Login kopieren

Dann starten Sie Nginx neu.

Beispiel für eine zweizeilige SSL-Konfiguration

server{
    listen 443 ssl;
    server_name www.123.com;
    root /data/wwwroot/www.123.com/ ;
    index index.html ;
    ssl_certificate server.crt;
    ssl_certificate_key server.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
    ssl_prefer_server_ciphers on;
    ssl_client_certificate ca.crt; //这里的ca.crt是根证书公钥文件    ssl_verify_client on;
    location / {
    }
}
Nach dem Login kopieren

Erläuterung:

Es gibt zwei Zeilen mehr in Fettdruck als für unidirektional, aber nachdem die bidirektionale Konfiguration konfiguriert ist, muss der Server dies auch tun Authentifizieren Sie das Zertifikat des Clients. Unter normalen Umständen verwenden wir unidirektional. Die Verwendung von SSL ist häufiger.

Hinweis:

Da es sich bei unserem Zertifikat um ein von einer selbst erstellten Zertifizierungsstelle ausgestelltes Zertifikat handelt, vertraut der Browser dem Zertifikat nicht. Daher wird beim Zugriff die Meldung „Das Zertifikat ist nicht vertrauenswürdig“ angezeigt.

In diesem Fall müssen Sie nur das Stammzertifikat der Zertifizierungsstelle in die „Vertrauenswürdige Stammzertifizierungsstelle“ des Browsers importieren und erhalten nicht mehr die Meldung „Das Zertifikat ist nicht vertrauenswürdig“.

Die Methode zum Exportieren in ein für Windows verfügbares Zertifikat ist wie folgt:

[root@localhost root_ca]# openssl pkcs12 -export -inkey private/ca.key -in
Nach dem Login kopieren

Kopieren Sie das exportierte Zertifikat nach Windows, doppelklicken Sie zum Installieren und folgen Sie dem Assistenten, um es in „Vertrauenswürdige Stammzertifizierungsstelle“ zu importieren.

Das obige ist der detaillierte Inhalt vonSo konfigurieren Sie SSL in Nginx. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:yisu.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage