Bagaimana untuk mengkonfigurasi nginx untuk menyokong https

1. Pengenalan

Protokol Pemindahan Hiperteks Protokol http digunakan untuk memindahkan maklumat antara pelayar web dan pelayan laman web Protokol http menghantar kandungan dalam teks yang jelas dan tidak memberikan sebarang Jika penyerang memintas mesej penghantaran antara pelayar web dan pelayan laman web, dia boleh terus membaca maklumat

Oleh itu, protokol http tidak sesuai untuk menghantar beberapa maklumat sensitif, seperti : Nombor kad kredit, kata laluan. dan maklumat pembayaran lain,

Untuk menyelesaikan kecacatan protokol http ini, protokol lain perlu digunakan: Secure Socket Layer Hypertext Transfer Protocol https Untuk keselamatan penghantaran data, https berada dalam protokol SSL ditambahkan pada HTTP bergantung pada sijil untuk mengesahkan identiti pelayan dan menyulitkan komunikasi antara penyemak imbas dan pelayan.

2. Kelebihan https

Walaupun https tidak selamat sepenuhnya Institusi yang menguasai sijil akar dan organisasi yang menguasai algoritma penyulitan juga boleh menjalankan man-in-. serangan tengah, tetapi https Ia masih merupakan penyelesaian paling selamat di bawah seni bina semasa dan mempunyai faedah utama berikut:

(1) Menggunakan protokol https boleh mengesahkan pengguna dan pelayan untuk memastikan data dihantar ke klien dan pelayan yang betul;

(2) Protokol https ialah protokol rangkaian yang dibina daripada protokol ssl+http yang boleh melakukan penghantaran yang disulitkan dan pengesahan identiti Ia lebih selamat daripada protokol http dan boleh menghalang data daripada dicuri atau diubah semasa proses penghantaran, memastikan integriti data.

(3) https ialah penyelesaian yang paling selamat di bawah seni bina semasa Walaupun ia tidak benar-benar selamat, ia meningkatkan kos serangan man-in-the-middle.

(4) Google melaraskan algoritma enjin cariannya pada Ogos 2014 dan menyatakan bahawa "berbanding dengan tapak web http yang setara, tapak web yang menggunakan penyulitan https akan mendapat kedudukan yang lebih tinggi dalam hasil carian."

3. Kelemahan https

Walaupun https mempunyai kelebihan yang besar, secara relatifnya, ia masih mempunyai kekurangan:

(1) Fasa jabat tangan protokol https memakan masa, yang akan memanjangkan masa memuatkan halaman sebanyak hampir 50% dan meningkatkan penggunaan kuasa sebanyak 10% hingga 20%

(2) Caching sambungan https tidak secekap http, yang akan meningkatkan overhed Data dan penggunaan kuasa, malah langkah keselamatan yang sedia ada akan terjejas; laman web peribadi dan laman web kecil tidak akan menggunakannya.

(4) Sijil SSL biasanya perlu diikat kepada IP Berbilang nama domain tidak boleh terikat pada sumber IPv4 yang sama.

(5) Skop penyulitan protokol https juga agak terhad, dan ia mempunyai sedikit kesan terhadap serangan penggodam, penafian serangan perkhidmatan, rampasan pelayan, dll. Perkara yang paling kritikal ialah sistem rantaian kredit sijil SSL tidak selamat, terutamanya apabila sesetengah negara boleh mengawal sijil akar CA, serangan man-in-the-middle juga boleh dilaksanakan.

4. Muat turun certbot

Gunakan git untuk memuat turunnya di sini Jika anda belum memasang git lagi, semak cara menukar

Direktori

cd /usr/local

Klon repositori git

git clone https: // github.com/certbot/certbot.git

Selepas pengklonan selesai, direktori certbot akan muncul dalam /usr/loca/

<>

5. Lihat certbot

Tukar ke direktori certbot

cd /usr/local/certbot

Jika direktori seperti ini, pemasangan berjaya

Arahan biasa untuk certbot

6

Pasang nginx

7 Mohon untuk sijil https

Lihat semasa. sijil

./certbot-auto certificates

Pelaksanaan pertama akan memasang beberapa tanggungan Terdapat pertanyaan pengesahan di tengah, masukkan y untuk mula memohon sijil

(sijil itu sah selama 3 bulan, dan ia. perlu digunakan semula apabila ia tamat tempoh) Kaedah 1: Gunakan kaedah dns untuk mengesahkan, kaedah ini memerlukan anda untuk mengkonfigurasi nama domain, saya secara peribadi menyukainya Dengan cara ini./certbot-auto --server https://acme- v02.api.letsencrypt.org/directory -d Nama domain anda --manual --preferred-challenges dns-01 certonly Contohnya:

Konfigurasikan nama domain generik

Salin kod The kod adalah seperti berikut:

./certbot-auto --server https: // acme-v02.api.letsencrypt.org/directory -d *.nl166 com --manual --preferred-challenges dns -01 certonly

Konfigurasikan nama domain yang ditentukan

Salin kod Kod adalah seperti berikut:

./certbot-auto --server https: / /acme-v02. api.letsencrypt.org/directory -d api.nl166.com --manual --preferred-challenges dns-01 certonly

Konfigurasikan nama domain generik peringkat kedua

Salin kod Kod adalah seperti berikut:

./certbot-auto --server https: // acme-v02.api.letsencrypt.org/directory -d *.api.nl166.com --manual --preferred-challenges dns -01 certonly

Seperti yang ditunjukkan dalam gambar di atas, anda akan diminta untuk memasukkan alamat e-mel untuk kali pertama. Hanya masukkannya seperti yang diperlukan dihantar kepada anda apabila tiba masanya Klik untuk mengesahkan alamat e-mel, jadi pastikan anda mengisi alamat e-mel sebenar, dan kemudian sahkan seperti yang diperlukan.

接下来会让你验证域名，按要求解析个txt类型的记录

保存确认以后再回到服务器中确认

上面这两个文件就是配置https用到的证书了

方式二：使用插件方式

我们先看看官方怎么说的

这里我使用的是nginx（申请完会自动帮你重启nginx） 这种方式配置不了泛域名，只能一个一个添加

./certbot-auto --nginx -d api2.nl166.com

解决上述报错，请注意，/usr/local/nginx 请替换为你的nginx实际安装位置安装lnmp

ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx

ln -s /usr/local/nginx/conf/ /etc/nginx

再次执行申请

中途会询问你请选择是否将http流量重定向到https，删除http访问。可根据自己的需求选择，我这里是c取消选择(实际上这一步可以直接不理，经测试，这一步没有选择前，访问网址https已经可以访问了。)

如果想省略询问这一步，可以添加certonly 该种方式只会生成证书，不做其余操作，证书配置需要自己手动添加 如下：

./certbot-auto certonly --nginx -d api2.nl166.com

如上图所示，如果你配置了监听443端口的server,他会帮你自动找到对应域名的配置文件，并添加下面两行，还把我格式打乱了，}号与上面{的缩进不对应了，不过不影响功能，这里不知道会不会根据nginx的版本选择是否添加ssl on;

因为我这个nginx版本是不需要这个的，较低版本需要添加ssl on;才能开启https访问。

如没有监听该域名的443端口，则会在如下位置添加信息

其他方式请自行摸索

8、配置nginx支持https

# https server
 #
 server {
 listen 443 ssl;
 server_name api2.nl166.com;
 root /data/web/im.nl166.com;

 location / {
 index index.php;
 }

 #auth_basic "hello world";
 #auth_basic_user_file /usr/local/nginx/conf/auth/nl166.auth;

 location ~ \.php$ {
 include fastcgi_params;
 fastcgi_pass unix:/tmp/php-fcgi.sock;
 fastcgi_index index.php;
 fastcgi_param script_filename $document_root$fastcgi_script_name;
 }
 location ~ .*.(svn|git|cvs) {
 deny all;
 }

 ssl_certificate /etc/letsencrypt/live/api2.nl166.com/fullchain.pem; # managed by certbot
 ssl_certificate_key /etc/letsencrypt/live/api2.nl166.com/privkey.pem; # managed by certbot
 }

较低版本需要增加ssl on;才能开启https访问。

9、使用shell脚本与定时任务定时续期证书

注意：为避免遇到操作次数的限制，加入 --dry-run 参数，可以避免操作限制，等执行无误后，再去掉进行真实的renew 操作。 方式一的续期

其中域名为/etc/letsencrypt/renewal/目录下的****.conf ,****就是你要填写的域名，比如我生成的时候是*.nl166.com,但是在实际生成的时候是没有*号的

/home/certbot-sh/au.sh 替换成你自己更新dns的脚本

如下：

复制代码 代码如下:

./certbot-auto renew --cert-name nl166.com --manual-auth-hook /data/shell/crontab/auto_update_httpscert. sh --dry-run

把更新命令放到一个文件，我这里是放在了/data/shell/crontab/auto_update_httpscert.sh 内容如下 ，原来的auto_update_httpscert.sh 更改到/data/shell/cnl_update_httpscert.sh

增加系统定时任务

crontab -e

#每个星期天凌晨5点执行更新https证书操作

0 5 * * 0 sh /data/shell/crontab/auto_update_httpscert.sh

方式二的续期 如下：

./certbot-auto certonly --renew-by-default --nginx -d api2.nl166.com --dry-run

增加系统定时任务操作参考方式一

Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi nginx untuk menyokong https. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!