NGINX SSL 証明書の構成 + HTTPS Web サイトの構築チュートリアル-PHPチュートリアル-php.cn

1.HTTPSとは何ですか?

Wikipedia の説明によると:

超文本传输安全协议（缩写：HTTPS，英语：Hypertext Transfer Protocol Secure）是超文本传输协议和SSL/TLS的组合，用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。HTTPS不应与在RFC 2660中定义的安全超文本传输协议（S-HTTP）相混。

HTTPS は現在、プライバシーとセキュリティを重視するすべての Web サイトにとって第一の選択肢となっており、テクノロジーの継続的な発展により、HTTPS Web サイトはもはやすべての一般的な個人 Web サイトの特許ではありません。安全で暗号化された Web サイトを自分で構築できます。

Web サイトが暗号化されていない場合、アカウントのパスワードはすべて平文で送信されます。プライバシーと経済的問題に関して、暗号化されていない送信がどれほど恐ろしいものであるかは想像できるでしょう。

このブログの読者の皆様は専門家に近い方ばかりですので、早速本題に入りましょう。

2. OpenSSL を使用して SSL キーと CSR を生成します

なぜなら、ブラウザーまたはシステムによって信頼された CA だけが、すべての訪問者が証明書エラープロンプトを表示せずに暗号化された Web サイトにスムーズにアクセスできるからです。したがって、自己署名証明書の手順をスキップして、サードパーティの信頼できる SSL 証明書の署名に直接進みましょう。

OpenSSL は、Linux や OS X などの通常のシステムにデフォルトでインストールされます。セキュリティ上の問題のため、現在のサードパーティ SSL 証明書発行機関のほとんどは、少なくとも 2048 ビットの RSA 暗号化秘密キーを必要とします。

同時に、通常の SSL 証明書認証には 2 つの形式があり、1 つは DV (Domain Validated)、もう 1 つは OV (Organization Validated) です。前者はドメイン名の検証のみが必要で、後者は認証が必要です。あなたの組織や会社を確認してください。セキュリティの点では、後者の方が確実に優れています。

秘密キーの生成に DV または OV のどちらを使用する場合でも、ここでは次のことを前提としています:

特別な証明書が必ずしもドメイン名であるとは限らないため、ドメイン名 (共通名とも呼ばれます)。 example.comexample.com

组织或公司名字（Organization）：Example, Inc.

部门（Department）：可以不填写，这里我们写 Web Security

城市（City）：Beijing

省份（State / Province）：Beijing

国家（Country）：CN

加密强度：2048 位，如果你的机器性能强劲，也可以选择 4096 位

按照以上信息，使用 OpenSSL 生成 key 和 csr 的命令如下

openssl req -new -newkey rsa:2048 -sha256 -nodes -out example_com.csr -keyout example_com.key -subj "/C=CN/ST=Beijing/L=Beijing/O=Example Inc./OU=Web Security/CN=example.com"

PS：如果是泛域名证书，则应该填写 *.example.com

你可以在系统的任何地方运行这个命令，会自动在当前目录生成 example_com.csr 和 example_com.key这两个文件

接下来你可以查看一下 example_com.csr，得到类似这么一长串的文字

这个 CSR 文件就是你需要提交给 SSL 认证机构的，当你的域名或组织通过验证后，认证机构就会颁发给你一个 example_com.crt

而 example_com.key 是需要用在 Nginx 配置里和 example_com.crt 配合使用的，需要好好保管，千万别泄露给任何第三方。

三、Nginx 配置 HTTPS 网站以及增加安全的配置

前面已经提到，你需要提交 CSR 文件给第三方 SSL 认证机构，通过认证后，他们会颁发给你一个 CRT 文件，我们命名为 example_com.crt

または会社名 (組織): Example, Inc .🎜🎜 部門: 入力する必要はありません。ここでは、Web セキュリティ🎜🎜City:北京🎜🎜省 (州/省): 北京🎜🎜国: CN🎜🎜暗号化強度: 2048 ビット、マシンのパフォーマンスが優れている場合は、4096 ビットも選択できます🎜🎜上記の情報に従って、OpenSSL を使用してくださいキーと csr コマンドを生成するには次のようにします🎜server { listen80; listen [::]:80 ssl ipv6>on; listen443 ssl; listen [::]:443 ssl ipv6>on; server_name example.com; sslon; ssl_certificate /etc/ssl/private/example_com.crt; ssl_certificate_key /etc/ssl/private/example_com.key; } 🎜 PS: 一般的なドメイン名証明書の場合は、*.example.com🎜🎜このコマンドはシステム内のどこでも実行でき、example_com.csr および example_com.keyこれらの 2 つのファイルを次に確認してください。 New',monospace; font-size :14.3999996185303px; padding:2px 4px; color:rgb(249,242,244)">example_com.csr を取得します。このようなテキストの文字列 🎜cd /etc/ssl/certs openssl dhparam -out dhparam.pem 2048# 如果你的机器性能足够强大，可以用 4096 位加密 🎜this CSR ファイルは、SSL 認証機関に提出する必要があるもので、ドメイン名または組織が検証に合格すると、認証機関から example_com.crt🎜🎜 および example_com.key は Nginx 設定と example_com.crt を一緒に使用する必要があります。第三者に漏洩してはなりません。 🎜🎜3. Nginx HTTPS Web サイトを構成し、セキュリティ構成を強化します🎜🎜 前述したように、認証に合格した後、サードパーティの SSL 認証機関に CSR ファイルを送信する必要があります。 example_com.crt;

同时，为了统一，你可以把这三个文件都移动到 /etc/ssl/private/ 目录。

然后可以修改 Nginx 配置文件

server { listen80; listen [::]:80 ssl ipv6>on; listen443 ssl; listen [::]:443 ssl ipv6>on; server_name example.com; sslon; ssl_certificate /etc/ssl/private/example_com.crt; ssl_certificate_key /etc/ssl/private/example_com.key; }

检测配置文件没问题后重新读取 Nginx 即可

nginx -t && nginx -s reload

但是这么做并不安全，默认是 SHA-1 形式，而现在主流的方案应该都避免 SHA-1，为了确保更强的安全性，我们可以采取迪菲－赫尔曼密钥交换

首先，进入 /etc/ssl/certs 目录并生成一个 dhparam.pem

cd /etc/ssl/certs openssl dhparam -out dhparam.pem 2048# 如果你的机器性能足够强大，可以用 4096 位加密

生成完毕后，在 Nginx 的 SSL 配置后面加入

ssl_prefer_server_cipherson; ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers"EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"; keepalive_timeout70; ssl_session_cache shared:SSL:10m; ssl_session_timeout10m;

同时，如果是全站 HTTPS 并且不考虑 HTTP 的话，可以加入 HSTS 告诉你的浏览器本网站全站加密，并且强制用 HTTPS 访问

add_header Strict-Transport-Security max-age=63072000; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff;

同时也可以单独开一个 Nginx 配置，把 HTTP 的访问请求都用 301 跳转到 HTTPS

server { listen80; listen [::]:80 ssl ipv6>on; server_name example.com; return301https://example.com$request_uri; }

四、可靠的第三方 SSL 签发机构

众所周知，前段时间某 NIC 机构爆出过针对 Google 域名的证书签发的丑闻，所以可见选择一家靠谱的第三方 SSL 签发机构是多么的重要。

目前一般市面上针对中小站长和企业的 SSL 证书颁发机构有：

StartSSL

Comodo / 子品牌 Positive SSL

GlobalSign / 子品牌 AlphaSSL

GeoTrust / 子品牌 RapidSSL

其中 Postivie SSL、AlphaSSL、RapidSSL 等都是子品牌，一般都是三级四级证书，所以你会需要增加 CA 证书链到你的 CRT 文件里。