51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Nginx 服务器开启 SSL

作者:佚名
服务器
SSL 证书购买途径有很多,也有一些是免费的,试过一些免费 SSL 证书但觉得续签麻烦,不太稳定,也不安全。

 [[184686]]

购买 SSL 证书

既然要加密提高网站安全级别,那么选择一款性价比合适的 SSL 在所难免。SSL 证书购买途径有很多,也有一些是免费的,试过一些免费 SSL 证书但觉得续签麻烦,不太稳定,也不安全。国内 CA 机构 CFCA 中国金融认证中心 SSL 产品研发负责人也表示:网站管理人员及 CA 机构都应对免费证书持谨慎态度。因为付费的也不是很贵,就选了比较常用的 Comodo PositiveSSL,在 gogetssl 买比官网便宜不少。

[[184687]]

 

我们以 gogetssl 家的 Comodo PositiveSSL 证书为例,记录 Nginx 配置安装 ssl 证书的过程,具体原理就不说了。

准备证书

首先需要购买证书,Comodo PositiveSSL,三年只要 9.65 美金。

 

购买完成后,邮件会得到几封邮件,其中包含 key 代码、证书压缩包等附件,解压之会得到 4 个文件。AddTrustExternalCARoot.crt、COMODORSAAddTrustCA.crt、COMODORSADomainValidationSecureServerCA.crt、www_91zll_net.crt,这就是我们要用到的证书了。

串联证书

执行合并命令生成新文件 ssl-bundle.crt

cat www_91zll_net.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt

生成私钥

将刚才gogetssl 发的邮件里的 key 代码,即 —–BEGIN PRIVATE KEY—– 和 —–END PRIVATE KEY—– 之间的代码(包含这两行)复制保存为 91zll_net.key 文件。利用 KEY私钥格式转换工具 来进行转换一下,从PKCS8 Key 转换为 RSA Key。

创建一个证书存放路径

mkdir -p /etc/ssl/private/

将前面生成的 91zll_net.key 和 ssl-bundle.crt 上传服务器,一般放在 /etc/ssl/private/ 目录下。

修改 Nginx 配置

下面是我 nginx 关于 ssl 部分的配置,因为要全局使用 https,故将 80 端口重定向到 https 下。

server {

listen 80;

server_name 91zll.ne www.91zll.net

location / {

rewrite (.*) https://www.91zll.net$1 permanent;

}

}

server {

listen 443 ssl;

server_name 91zll.net www.91zll.net;

ssl on;

ssl_certificate /etc/ssl/private/ssl-bundle.crt;

ssl_certificate_key /etc/ssl/private/91zll_net.key;

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8 8.8.4.4 valid=300s;

resolver_timeout 5s;

ssl_session_cache shared:SSL:10m;

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

ssl_prefer_server_ciphers on;

}

具体参数的含义就不多说了,请自行google。使用前先测试一下。

nginx -t

检测没问题后,重启 nginx

service nginx restart

责任编辑:武晓燕 来源: linuxprobe
Nginx服务器 SSL
相关推荐
巧选服务器证书二:SSL 服务器证书发展篇
基于SSL技术的服务器证书自诞生之日起,已有十余年,其加密强度及功能上均在不断演变,而且随着钓鱼攻击的演变、黑客技术的发展这种变化正日趋加速。从最初推出的浏览器上安全锁型标记到最新EVSSl服务器证书,我们看到服务器证书正与现实网络生活建的关系正日益紧密。

2009-08-26 22:35:20

巧选服务器证书一:SSL服务器证书加密强度
在世界范围内,安全套接协议层SecureSocketsLayer(简称SSL)是网络安全的最为基础的安全标准。SSL协议通过加密敏感数据使得真正信息接受者才能阅读相关信息,阻止机密信息、重要数据通过网络泄露出去。与此同时,SSL技术可以使访问网页的客户识别所访问的网站的真实性。

2009-08-14 16:09:12

EV SSL 服务器证书是什么
EVSSL证书的产生是为了对付日益猖獗的网上欺诈犯罪,意在恢复并增强人们对网上在线交易的信心。EVSSL证书是一种新型的需要对申请单位进行非常严格身份验证的SSL证书。

2009-08-26 23:13:44

Nginx服务器架构解析
我们知道Nginx从总体上来讲是有许多个模块构成的。习惯将Nginx分为5大模块分别为:核心模块,标准HTTP模块,可选HTTP模块,邮件服务模块和第三方模块。

2019-12-24 14:42:51

Nginx服务器架构
解剖Nginx服务器架构
我们知道Nginx从总体上来讲是有许多个模块构成的。习惯将Nginx分为5大模块分别为:核心模块,标准HTTP模块,可选HTTP模块,邮件服务模块和第三方模块。

2020-05-12 21:17:18

Nginx服务器架构
Nginx服务器架构揭秘
Nginx是一款免费的、开源的、高性能、模块化、轻量级的HTTP服务器、反向代理服务器以及电子邮件(IMAPPOP3)代理服务器。

2019-01-10 11:12:15

Nginx服务器架构
解剖Nginx服务器架构
我们知道Nginx从总体上来讲是有许多个模块构成的。习惯将Nginx分为5大模块分别为:核心模块,标准HTTP模块,可选HTTP模块,邮件服务模块和第三方模块。

2019-09-10 15:22:17

Nginx服务器架构
Nginx搭建前端静态服务器+文件服务器
大家可能被虚拟主机不太了解,那我们的解释一下,虚拟主机指在一台物理主机服务器上划分出多个磁盘空间,每个磁盘空间都是一个虚拟主机,每台虚拟主机都可以对外提供Web服务,并且互不干扰。

2021-09-10 10:07:17

Nginx虚拟主机服务器
巧选服务器证书三:SSL服务器证书品质篇
经由第三方CA数字认证中心颁发的SSL服务器证书作为一项成熟的安全技术被普遍应用互联网上。为什么数字证书要有第三方CA数字认证中心颁发?这就好比我们的身份证,只有公安局才有资格制作个人身份证,因为它是有公信力的政府部门。

2009-08-26 22:37:46

服务器证书SSL
CentOS Nginx服务器配置nginx.conf
由于项目目前只有一台CentOSNginx的服务器,无法用来测试,所以打算找下Nginxwindows下版本;http:www.kevinworthington.comnginxwin32以上为win32的版本用户访问sp.imichat.com均衡到10.10.10.181:8080;10.10.10.181:8081;10.10.10.181:8082;这3台服务器CentOSNginx

2010-02-06 10:24:52

CentOS Ngin
Nginx开启SSL会话复用,能提升多少性能?
TLS通过复用ssl来优化TLS连接过程,tls的复用由服务端决定是否可复用,包括session的过期时间,在nginx中,通过开启sslsessioncache来开启缓存和复用,性能提升40%。

2021-04-26 05:38:50

Nginxssl
Nginx搭建简单直播服务器
使用Nginx+Nginxrtmpmodule在Ubuntu中搭建简单的rtmp推流直播服务器。

2021-01-29 14:41:43

Nginx直播服务器rtmp
Nginx 服务器之速率限制
Nginx限速使用Leaky(唝水桶)算法,比喻为水桶顶部倒水,底部漏水,如果倒入水的速率超过漏水的速度,则水桶漏出。在电信网络和分组交换网络中,带宽有限的情况下该算法使用场景较多。

2018-02-08 08:52:37

如何在NGINX网站服务器中实施SSL完美前向保密技术?
本文介绍了在Debian和Ubuntu系统平台上实施完美前向保密(PerfectForwardSecrecy)以及NGINX网站服务器的过程。如果是其他GNULinux系统,整个过程稍有变动。

2014-08-06 09:15:56

NGINX完美前向保密
Web服务器如何选择 Apache or Nginx
Web服务器是直接影响网站性能的关键因素,也是每个站长选择网站运营环境时必然考虑的问题。目前Web服务器市场产品众多,最为主流和代表性的当属Apache、Nginx以及微软的IIS。本文目的是通过Apache和Nginx进行对比,从而帮助广大用户们能够选择适合自己的Web服务器。

2017-12-27 10:18:09

ApacheNginx服务器
Nginx服务器如何配置启用Https
SSL英文名为SecureSocketLayer,安全套接字层。SSL是一种数字证书,它使用ssl协议在浏览器和webserver之间建立一条安全通道,数据信息在client与server之间的安全传输。

2021-07-28 23:32:09

Nginx服务器Https
Nginx服务器的性能依然强劲
Nginx服务器基于基于memcached的缓存有不少的问题需要我们解决。接着我们就详细的学习有关缓存的相关问题。希望大家有所收获。

2010-03-24 19:21:55

Nginx服务器
详解 Nginx如何配置Web服务器
在高层次上,将NGINX配置作为Web服务器有一些问题需要了解,定义它处理哪些URL以及如何处理这些URL上的资源的HTTP请求。在较低层次上,配置定义了一组控制对特定域或IP地址的请求的处理的虚拟服务器。

2020-04-15 20:57:57

NginxWeb服务器
Nginx反向代理服务器、负载均衡服务器和正向代理
Nginx("enginex")是一个高性能的HTTP和反向代理服务器,第一个公开版本0.1.0发布于2004年10月4日。官方测试nginx能够支撑5万并发链接,并且cpu、内存等资源消耗却非常低,并发能力强,运行非常稳定。

2018-11-05 09:34:43

IIS服务器建立SSL安全机制的教学讲解
IIS服务器的身份认证除了匿名访问、基本验证和WindowsNT请求响应方式外,还有一种安全性更高的认证,就是通过SSL安全机制使用数字证书。

2010-05-17 15:29:44

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服