Nginx, sebagai pelayan web berprestasi tinggi dan pelayan proksi terbalik, digunakan secara meluas untuk penggunaan aplikasi dan pengimbangan beban. Dengan peningkatan beransur-ansur kesedaran keselamatan dan perlindungan alam sekitar, HTTPS juga telah menjadi bahagian yang amat diperlukan dalam aplikasi web moden. Artikel ini akan menumpukan pada penggunaan HTTPS Nginx dan pengoptimuman prestasi keselamatan.
1. Penggunaan HTTPS Nginx
Mula-mula anda perlu pergi ke Pihak Berkuasa Sijil (CA) untuk memohon sijil SSL. Selepas permohonan berjaya, anda akan mendapat fail sijil (.crt) dan fail kunci peribadi (.key).
Konfigurasi HTTPS Nginx perlu melibatkan tiga aspek: Pemajuan HTTP ke HTTPS, konfigurasi sijil Nginx dan konfigurasi HTTPS.
(1) Majukan HTTP ke HTTPS
Dalam fail konfigurasi Nginx, anda perlu menambah bahagian konfigurasi HTTP supaya apabila pengguna mengakses port lalai HTTP 80, mereka secara automatik boleh melompat ke HTTPS lalai pada port 443.
server { listen 80; server_name example.com; return 301 https://$server_name$request_uri; }
(2) Konfigurasi sijil Nginx
Dalam fail konfigurasi Nginx, anda perlu menambah sijil SSL dan fail kunci peribadi yang baru anda mohon pada fail konfigurasi.
server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/cert.crt; ssl_certificate_key /path/to/cert.key; ... }
(3) Konfigurasi HTTPS
Anda perlu mengkonfigurasi pilihan khusus protokol HTTPS, seperti mendayakan protokol HTTP/2, melumpuhkan SSLv3, dsb.
http2_push_preload on; #启用HTTP/2协议的推送预加载 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #指定启用的TLS协议版本 ssl_ciphers EECDH+AESGCM:EDH+AESGCM:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM; #指定加密套件 ssl_prefer_server_ciphers on; #常用加密套件优先顺序为服务端指定的值 ssl_session_cache shared:SSL:10m; #指定SSL session缓存 ssl_session_timeout 10m; #指定SSL session超时时间
2. Pengoptimuman prestasi keselamatan Nginx
Selepas menggunakan perkhidmatan HTTPS, anda juga perlu memberi perhatian kepada isu pengoptimuman prestasi keselamatan berikut untuk memastikan kestabilan dan keselamatan perkhidmatan:
OCSP (Protokol Status Sijil Dalam Talian) digunakan untuk mengesan sama ada sijil telah dibatalkan. Dalam konfigurasi HTTPS Nginx, pengesanan respons OCSP boleh dilakukan melalui program berikut:
ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/fullchain.pem; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 10s;
Isi utama ditafsirkan seperti berikut:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
Isi utama ditafsirkan seperti berikut:
max-age=31536000 Tentukan tempoh pengepala HSTSssl_protocols TLSv1.3 TLSv1.2 TLSv1.1 TLSv1;
Isi utama ditafsirkan seperti berikut:
TLSv1.3 mentakrifkan protokol penyulitan yang didayakanssl_ciphers ... !aNULL !eNULL !EXPORT !CAMELLIA !DES !MD5 !PSK !RC4 !SEED +AES256 !kEDH +SHA256 +HMAC;
Mata utama ditafsirkan seperti berikut:
AES256 Dayakan algoritma penyulitan AES256Artikel ini memperkenalkan mata pengetahuan utama penggunaan HTTPS Nginx dan pengoptimuman prestasi keselamatan. Dalam konteks aplikasi web moden yang semakin kompleks, keperluan keselamatan dan prestasi HTTPS juga semakin tinggi dan lebih tinggi Sebagai pengurus sistem, adalah penting untuk sentiasa mengemas kini rizab pengetahuan anda dan mengekalkan visi profesional teknologi baharu dan persekitaran baharu. Sangat perlu dan penting.
Atas ialah kandungan terperinci Penggunaan HTTPS dan pengoptimuman prestasi keselamatan Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!