日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 运维知识 > Nginx >内容正文

Nginx

Nginx服务器证书部署-亚洲诚信

發布時間:2023/12/19 Nginx 36 豆豆
生活随笔 收集整理的這篇文章主要介紹了 Nginx服务器证书部署-亚洲诚信 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

Nginx服務器證書部署

發布時間:2018-01-17 16:15:25

依賴建議

l??SSL卸載驅動。建議:openssl版本1.1.0f+。

l??nginx版本Stable version:最新穩定版,生產環境上建議使用的版本。

獲取證書

  • MPKI方式:

1.???登錄https://mpki.trustasia.com。

2.???證書下載pem(nginx SLB)格式,會得到一個zip的壓縮包,解壓后有兩個文件,分別是crt和key后綴。

  • 非MPKI方式:

1.??CSR對應的key文件

2.??證書郵件里提取代碼,把-----BEGIN CERTIFICATE-----到-----END CERTIFICATE-----(包括開頭和結尾,不用換行)復制到txt文本文件里,然后保存為crt后綴;這樣也就獲取到nginx用的2個文件了。

SSL相關配置

到nginx的conf目錄,找到nginx.conf文件,修改或者配置這樣一段

server?{listen?80?default_server;listen?[::]:80?default_server;#?強制跳轉return?301?https://$host$request_uri; }? server?{listen?443?ssl?http2;listen?[::]:443?ssl?http2;???#IPv6支持?#RSA證書ssl_certificate?/xxx/xx/rsa.pem;ssl_certificate_key?/xxx/xx/rsa.key;#ECC證書,可選,需要1.11版本支持ssl_certificate?/xxx/xx/ecc.pem;;ssl_certificate_key?/xxx/xx/ecc.key;;ssl_session_timeout?1d;ssl_session_cache?shared:SSL:50m;ssl_session_tickets?off;#?A+級配置.ssl_protocols??TLSv1?TLSv1.1?TLSv1.2;ssl_ciphers?'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';ssl_prefer_server_ciphers?on;#?HSTS?(需要編譯帶ngx_http_headers_module模塊)?(15768000?秒=?6?月)add_header?Strict-Transport-Security?max-age=15768000;#?OCSP?Stapling?裝訂ssl_stapling?on;ssl_stapling_verify?on; }


下面為配置文件參數說明:

listen?443


SSL訪問端口號為443

ssl???????on
啟用SSL功能

ssl_certificate
證書文件server.crt

ssl_certificate_key
私鑰文件server.pem

ssl_protocols
使用的協議

ssl_ciphers
配置加密套件,寫法遵循openssl標準

配置完成后,先用sbin/nginx –t來測試下配置是否有誤,正確無誤的話,建議重啟nginx。

http跳轉https(建議而非強制)

對于用戶,不是不知道https,就是知道https也因為懶,不愿意輸入https。這樣就有一個需求,讓服務器自動把http的請求重定向到https。

在服務器這邊的話配置的話,可以在頁面里加js腳本,也可以在后端程序里寫重定向,當然也可以在web服務器來實現跳轉。Nginx是支持rewrite的(只要在編譯的時候沒有去掉pcre)

在http的server里

增加

return 301 https://$host$request_uri;

或者

rewrite???^(.*) https://$host$1 permanent;

這樣就可以實現80進來的請求,重定向為https了

檢測

https的端口沒做限制后(防火墻放行,端口轉發正常),到https://myssl.com進行檢測

評級達到B以上,在安全和兼容方面是較不錯的。


轉自:https://www.trustasia.com/news-201801-nginx-server-certificate-deployment

轉載于:https://blog.51cto.com/sandshell/2157254

總結

以上是生活随笔為你收集整理的Nginx服务器证书部署-亚洲诚信的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。