乐趣区

关于nginx:NGINX配置SSL支持

前言

在文章 - 腾讯云申请收费 SSL 证书中, 咱们曾经申请好了 SSL 证书. 那么当初, 咱们就要配置全站 SSL 了!

这次的工作次要是 NGINX 的配置, 同时会有一些我的博客自身的配置.

博客自身配置更改包含: (这篇文章就先不细说了)

  • 网页内链接全副从 http 改为 https(其实配置下 SITEURL, 工具会主动生成好) 并从新公布. (特地要留神, 如果有的站内 css, js 等没有用 https 就难堪了, 会被各类浏览器拦挡掉, 并提醒 ” 不平安的脚本 ”)
  • 网站有用到的第三方工具(如拨测), 把网站的地址改为 https 结尾的.

NGINX 配置

首先, 创立并上传筹备好的证书文件到指定目录: (crt 和 key 文件)

$ sudo mkdir -p /etc/pki/nginx/
# 通过 sftp 上传到该目录

进行 nginx.conf 的 ssl 配置, 本次次要波及到 server 块的配置更改, 如下: (具体的指令作用见正文)

    server {
        listen       80;
        server_name  www.ewhisper.cn;
        return 301 https://$host$request_uri;
    }
    server {
        listen       443 ssl http2;
        server_name  www.ewhisper.cn;
        root         /usr/share/nginx/html;  # 动态博客的寄存地位

        ssl_certificate "/etc/pki/nginx/1_www.ewhisper.cn_bundle.crt";  # 证书门路
        ssl_certificate_key "/etc/pki/nginx/2_www.ewhisper.cn.key";  # 证书密钥门路
        ssl_session_cache shared:SSL:50m;  # ssl session cache 调配 50m 空间, 缓存 ssl session
        ssl_session_timeout  1d;  # ssl session 超时工夫为 1 天
        ssl_session_tickets off;  # ssl session ticket 机制, 局部版本有 bug, 视状况开启.

        ssl_protocols TLSv1.2;  # ssl 协定版本
        ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';  # ssl ciphers
        ssl_prefer_server_ciphers on;  # 偏向于应用 server 端的 ciphers

        # HSTS 6 months
        add_header Strict-Transport-Security max-age=15768000;  
        # 增加个 http header, 通知浏览器间接转到 https, 此性能有危险, 谨慎抉择. 
        # (比方你的证书过期遗记续了, 那么用户想转到 http 都没方法)

        ssl_stapling on;  # 启用 ssl OCSP stapling 性能, 服务端被动查问 OCSP 后果, 进步 TLS 效率
        ssl_stapling_verify on;  # 开启 OCSP stapling 验证

        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;  # 我的博客的 location 在这里配置

        #location / {#}

        error_page 404 /404.html;
            location = /40x.html { }

        error_page 500 502 503 504 /50X.html;
            location = /50X.html {}}

阐明:

以上的某些指令, 我先大略介绍下, 后续会有文章做具体介绍.

  1. return 301 https://$host$request_uri; HTTP 的全副永恒重定向到 https 对应的 URL
  2. /usr/share/nginx/html 动态博客的寄存地位
  3. ssl_session_timeout 1d; ssl session 超时工夫为 1 天
  4. ssl_session_tickets off; # ssl session ticket 机制, 局部版本有 bug, 视状况开启.
  5. ssl_prefer_server_ciphers on; 偏向于应用 server 端的 ciphers
  6. HSTS 性能: 增加个 HTTP header, 通知浏览器间接转到 https, 此性能有危险, 谨慎抉择. (比方你的证书过期遗记续了, 那么用户想转到 HTTP 都没方法)
  7. ssl_stapling on; 启用 ssl OCSP stapling 性能, 服务端被动查问 OCSP 后果, 进步 TLS 握手效率
  8. /etc/nginx/default.d/*.conf; 我的博客 location 配置

小技巧:

火狐浏览器背地的基金会, 开源了一个十分好用的工具: ssl-config-generator

在这上边, 点一点就能够主动生成举荐的 SSL 配置了.

提一点, 如上图所示, 第二列肯定要依据你的客户浏览器或客户端的版本应用状况谨慎抉择.

比方, 用户还在用 Windows XP, IE6, Java 6, 那么只能抉择 Old.

接下来, 就是要重启 nginx 来失效了.

$ sudo nginx -t  # 测试配置, 没问题再重启
$ sudo systemctl reload nginx.service

重启后, 测试发现 css js 都没有失效.

因为之前 nginx 刚配置过缓存. 过后脑子没转过来, 没有第一工夫意识到可能是浏览器缓存的问题. 就间接 nginx stop 再 start 了下. 后果悲催的我的网站可用性就从 100% 跌到 99.81% 了.

起初终于意识到可能是浏览器缓存的问题了, 清理了缓存后, 再启动, 终于页面显示失常, 图标也从 ” 不平安 ” 变成了小锁.

测试拜访 http://www.ewhisper.cn, 也会被强制转到 https://www.ewhisper.cn. 完满!

我的 SSL 评级

再来介绍个好货色 – SSL Labs. 能够对你的网站进行 SSL 平安评级.

点击链接, 输出网站地址, 喝杯茶, 后果就进去了 – A+ 哈哈哈哈哈!!!!

最初附上我的残缺报告

退出移动版