Konfigurasikan pengangkutan sijil SSL selamat dalam Nginx

Dengan populariti Internet, keselamatan rangkaian telah menjadi topik penting yang semakin diberi perhatian oleh orang ramai. Sijil SSL adalah salah satu cara yang berkesan untuk memastikan keselamatan laman web. Sebagai perisian pelayan web yang popular, Nginx menyokong protokol SSL dan boleh memastikan keselamatan proses komunikasi tapak web dengan mengkonfigurasi sijil SSL. Artikel ini akan menerangkan secara terperinci cara mengkonfigurasi penghantaran sijil SSL selamat dalam Nginx.

1. Dapatkan sijil SSL

Sebelum mengkonfigurasi sijil SSL, anda perlu mendapatkan sijil terlebih dahulu. Secara umumnya, sijil SSL boleh dibeli daripada pihak berkuasa sijil atau dijana sendiri. Membeli sijil SSL memberi anda sijil yang lebih dipercayai, tetapi ia disertakan dengan bayaran. Sijil yang dijana sendiri boleh digunakan secara percuma, tetapi keselamatannya agak rendah. Artikel ini menggunakan Let's Encrypt sebagai contoh untuk memperkenalkan cara mendapatkan sijil SSL.

1. Pasang alat Certbot

Certbot ialah alat pengurusan sijil SSL automatik yang boleh mendapatkan dan mengkonfigurasi sijil SSL secara automatik. Kaedah untuk memasang Certbot dalam sistem Linux adalah seperti berikut:

Di Ubuntu:

sudo apt-get install certbot python3-certbot-nginx

Pada CentOS:

sudo yum install certbot python3-certbot-nginx

2. Dapatkan sijil SSL

Certbot menyokong pelaksanaan automatik tugas mendapatkan sijil SSL Anda hanya perlu melaksanakan arahan berikut:

sudo certbot --nginx -d example.com

Antaranya, parameter -d diikuti dengan nama domain yang mana sijil SSLnya. perlu diperolehi. Certbot akan mengesan fail konfigurasi Nginx secara automatik dan menyediakan sijil SSL tanpa mengubah suai fail konfigurasi Nginx secara manual.

2. Konfigurasikan Nginx untuk mendayakan SSL

Selepas mendapatkan sijil SSL, anda perlu mendayakan SSL dalam Nginx. Kaedah konfigurasi adalah seperti berikut:

1. Ubah suai fail konfigurasi Nginx

Buka fail konfigurasi Nginx nginx.conf, cari blok http dan tambah kandungan berikut:

http {
    #其他http配置

    server {
        listen 443 ssl;
        server_name example.com;

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

        #其他配置
    }
}

Antaranya, dengar 443 ssl bermaksud mendengar permintaan HTTPS, nama_server mengkonfigurasi nama domain untuk didengar, ssl_certificate menentukan kunci awam sijil SSL dan ssl_certificate_key menentukan kunci peribadi sijil SSL.

2. Mulakan Semula Nginx

Selepas konfigurasi selesai, anda perlu memulakan semula perkhidmatan Nginx.

Di Ubuntu:

sudo service nginx restart

Pada CentOS:

sudo systemctl restart nginx

3 Optimumkan konfigurasi SSL

Selain mengkonfigurasi sijil SSL, terdapat beberapa Keselamatan lain. langkah boleh meningkatkan keselamatan SSL. Contohnya, melumpuhkan protokol tidak selamat, suite sifir, dsb. boleh dikonfigurasikan dalam fail konfigurasi Nginx.

Berikut ialah beberapa pengoptimuman konfigurasi SSL biasa:

1. Lumpuhkan SSLv2 dan SSLv3: SSLv2 dan SSLv3 telah terbukti tidak selamat dan harus dilumpuhkan. Tambahkan kod berikut pada fail konfigurasi Nginx:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

2. Gunakan suite sifir yang kuat: Menggunakan suite sifir yang lebih kukuh boleh meningkatkan keselamatan SSL. Tambahkan kod berikut pada fail konfigurasi Nginx:

ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256;

3. Dayakan OCSP Stapling: OCSP Stapling boleh mengurangkan kependaman rangkaian semasa jabat tangan SSL dan meningkatkan prestasi dan keselamatan SSL. Tambahkan kod berikut pada fail konfigurasi Nginx:

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;

4 Uji keselamatan SSL

Selepas melengkapkan konfigurasi SSL, anda boleh menggunakan alat ujian keselamatan SSL dalam talian untuk menguji SSL. keselamatan Lakukan ujian untuk memastikan konfigurasi betul dan selamat. Adalah disyorkan untuk menggunakan alat ujian dalam talian yang disediakan oleh Qualys SSL Labs, yang boleh menguji keselamatan pelayan HTTPS secara menyeluruh.

Melalui langkah di atas, anda telah berjaya mengkonfigurasi penghantaran sijil SSL selamat dalam Nginx, menjadikan tapak web anda lebih selamat dan boleh dipercayai. Pada masa yang sama, adalah penting untuk mengemas kini strategi konfigurasi SSL secara berterusan dan mengukuhkan keselamatan SSL. Saya harap pembaca boleh menjadi lebih yakin di jalan untuk melindungi keselamatan tapak web mereka sendiri.

Atas ialah kandungan terperinci Konfigurasikan pengangkutan sijil SSL selamat dalam Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!