Maison > Opération et maintenance > Nginx > Comment configurer SSL dans nginx

Comment configurer SSL dans nginx

WBOY
Libérer: 2023-05-12 17:58:24
avant
6715 Les gens l'ont consulté

Exemple de configuration SSL unidirectionnelle :

server{
    listen 443 ssl;
    server_name www.123.com;
    root /data/wwwroot/www.123.com/ ;
    index index.html ;
    ssl_certificate server.crt;
    ssl_certificate_key server.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
    ssl_prefer_server_ciphers on;
    location / {
    }
}
Copier après la connexion

Instructions de configuration :

1. 443端口为ssl监听端口。
2. ssl on表示打开ssl支持。
3. ssl_certificate指定crt文件所在路径,如果写相对路径,必须把该文件和nginx.conf文件放到一个目录下。
4. ssl_certificate_key指定key文件所在路径。
5. ssl_protocols指定SSL协议。
6. ssl_ciphers配置ssl加密算法,多个算法用:分隔,ALL表示全部算法,!表示不启用该算法,+表示将该算法排到最后面去。
7. ssl_prefer_server_ciphers 如果不指定默认为off,当为on时,在使用SSLv3和TLS协议时,服务器加密算法将优于客户端加密算法。
Copier après la connexion

Remarque :

nginx Lors de l'installation du code source, le module SSL n'est pas activé par défaut et doit être recompilé et installé. La commande d'installation est la suivante :

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
Copier après la connexion
make && make install
Copier après la connexion

Puis redémarrez nginx

#. 🎜🎜#Exemple de configuration SSL à double ligne

server{
    listen 443 ssl;
    server_name www.123.com;
    root /data/wwwroot/www.123.com/ ;
    index index.html ;
    ssl_certificate server.crt;
    ssl_certificate_key server.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
    ssl_prefer_server_ciphers on;
    ssl_client_certificate ca.crt; //这里的ca.crt是根证书公钥文件    ssl_verify_client on;
    location / {
    }
}
Copier après la connexion
Explication :

a deux lignes en gras de plus que le sens unique, mais après avoir configuré le bidirectionnel, le le serveur doit également authentifier le certificat du client. Dans des circonstances normales, notre SSL unidirectionnel est plus couramment utilisé.

Remarque :

Comme notre certificat est un certificat émis par une autorité de certification auto-construite, le navigateur ne fait pas confiance au certificat, donc quand accès Parfois, le message "Le certificat n'est pas fiable" s'affichera.

Dans ce cas, il vous suffit d'importer le certificat racine de l'autorité de certification dans la "Trusted Root Certification Authority" du navigateur et le message "Le certificat n'est pas fiable" ne vous sera plus demandé.

La manière d'exporter le certificat disponible pour Windows est la suivante :

[root@localhost root_ca]# openssl pkcs12 -export -inkey private/ca.key -in
Copier après la connexion
Copiez le certificat exporté vers Windows, double-cliquez pour l'installer et suivez l'assistant pour importer vers "Autorité de certification racine de confiance", c'est tout.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
source:yisu.com
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal