关于nginx:NGINX配置SSL支持

前言

在文章-腾讯云申请收费SSL证书中, 咱们曾经申请好了SSL证书. 那么当初, 咱们就要配置全站SSL了!

这次的工作次要是NGINX的配置, 同时会有一些我的博客自身的配置.

博客自身配置更改包含: (这篇文章就先不细说了)

• 网页内链接全副从http改为https(其实配置下SITEURL, 工具会主动生成好) 并从新公布. (特地要留神, 如果有的站内css, js等没有用https就难堪了, 会被各类浏览器拦挡掉, 并提醒"不平安的脚本")
• 网站有用到的第三方工具(如拨测), 把网站的地址改为 https结尾的.

NGINX配置

首先, 创立并上传筹备好的证书文件到指定目录: (crt和key文件)

$ sudo mkdir -p /etc/pki/nginx/# 通过sftp上传到该目录

进行nginx.conf 的ssl配置, 本次次要波及到server块的配置更改, 如下: (具体的指令作用见正文)

    server {        listen       80;        server_name  www.ewhisper.cn;        return 301 https://$host$request_uri;    }    server {        listen       443 ssl http2;        server_name  www.ewhisper.cn;        root         /usr/share/nginx/html;  # 动态博客的寄存地位        ssl_certificate "/etc/pki/nginx/1_www.ewhisper.cn_bundle.crt";  # 证书门路        ssl_certificate_key "/etc/pki/nginx/2_www.ewhisper.cn.key";  # 证书密钥门路        ssl_session_cache shared:SSL:50m;  # ssl session cache调配50m空间, 缓存ssl session        ssl_session_timeout  1d;  # ssl session 超时工夫为1天        ssl_session_tickets off;  # ssl session ticket 机制, 局部版本有bug, 视状况开启.        ssl_protocols TLSv1.2;  # ssl 协定版本        ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';  # ssl ciphers        ssl_prefer_server_ciphers on;  # 偏向于应用server端的ciphers        # HSTS 6 months        add_header Strict-Transport-Security max-age=15768000;          # 增加个http header, 通知浏览器间接转到https, 此性能有危险, 谨慎抉择.         # (比方你的证书过期遗记续了, 那么用户想转到http都没方法)        ssl_stapling on;  # 启用ssl OCSP stapling性能, 服务端被动查问OCSP后果, 进步TLS效率        ssl_stapling_verify on;  # 开启OCSP stapling 验证        # Load configuration files for the default server block.        include /etc/nginx/default.d/*.conf;  # 我的博客的location在这里配置        #location / {        #}        error_page 404 /404.html;            location = /40x.html {        }        error_page 500 502 503 504 /50X.html;            location = /50X.html {        }    }

阐明:

以上的某些指令, 我先大略介绍下, 后续会有文章做具体介绍.

1. return 301 https://$host$request_uri; HTTP的全副永恒重定向到https对应的URL
2. /usr/share/nginx/html 动态博客的寄存地位
3. ssl_session_timeout 1d; ssl session 超时工夫为1天
4. ssl_session_tickets off; # ssl session ticket 机制, 局部版本有bug, 视状况开启.
5. ssl_prefer_server_ciphers on; 偏向于应用server端的ciphers
6. HSTS性能:　增加个HTTP header, 通知浏览器间接转到https, 此性能有危险, 谨慎抉择. (比方你的证书过期遗记续了, 那么用户想转到HTTP都没方法)
7. ssl_stapling on; 启用ssl OCSP stapling性能, 服务端被动查问OCSP后果, 进步TLS握手效率
8. /etc/nginx/default.d/*.conf; 我的博客location配置

小技巧:

火狐浏览器背地的基金会, 开源了一个十分好用的工具: ssl-config-generator

在这上边, 点一点就能够主动生成举荐的SSL配置了.

提一点, 如上图所示, 第二列肯定要依据你的客户浏览器或客户端的版本应用状况谨慎抉择.

比方, 用户还在用Windows XP, IE6, Java 6, 那么只能抉择Old.

接下来, 就是要重启nginx来失效了.

$ sudo nginx -t  # 测试配置, 没问题再重启$ sudo systemctl reload nginx.service

重启后, 测试发现 css js都没有失效.

因为之前nginx刚配置过缓存. 过后脑子没转过来, 没有第一工夫意识到可能是浏览器缓存的问题. 就间接nginx stop 再start了下. 后果悲催的我的网站可用性就从100%跌到99.81%了.

起初终于意识到可能是浏览器缓存的问题了, 清理了缓存后, 再启动, 终于页面显示失常, 图标也从"不平安"变成了小锁.

测试拜访http://www.ewhisper.cn, 也会被强制转到 https://www.ewhisper.cn. 完满!

我的SSL评级

再来介绍个好货色 - SSL Labs. 能够对你的网站进行SSL 平安评级.

点击链接, 输出网站地址, 喝杯茶, 后果就进去了 - A+ 哈哈哈哈哈!!!!

最初附上我的残缺报告