ICode9

精准搜索请尝试: 精确搜索
首页 > 系统相关> 文章详细

Nginx配置https

2019-07-21 15:55:32  阅读:299  来源: 互联网

标签:set https ssl header 配置 server Nginx proxy key



                                                     nginx配置https

HTTPS,超文本传输安全协议,是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。以下将介绍如何设置https。

一、配置文件设置

这里我使用的是虚拟主机设置https

nginx.conf文件,在http中加入

include /usr/local/nginx/vhost/*.conf;

mkdir /usr/local/nginx/vhost

vim /usr/local/nginx/default.conf

server {
     listen 80;
     server_name _;
          #这里的rewrite,访问80端口强制跳转到https
     rewrite ^ https://$host$request_uri? permanent;
  }
  
server {
#    listen 443;  1.15版本后 ssl on; 这条被废弃了,开启443方式如下
    listen 443 ssl;
    server_name localhost;
    #浏览器直接重定向到https,避免中途的302重定向URL被篡改。进一步提高通信的安全性。 HSTS  max-age=31536000是指接下来一年
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
    #证书存放位置
    ssl_certificate /opt/system/nginx/ssl/server.crt;
    #免密key存放位置
    ssl_certificate_key /opt/system/nginx/ssl/server.key
    #依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码
    ssl_prefer_server_ciphers On;
    #指定密码为openssl支持的格式
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    #密码加密方式
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS;

    location / {
    #主配置文件中有upstream模块,代理后台的两个tomcat。
    proxy_pass http://backend;
        gzip on;
        gzip_min_length 40000;
        gzip_types application/javascript application/json text/css text/plain;
        client_max_body_size 5000M;
        proxy_connect_timeout 60;
        proxy_send_timeout 1000;
        proxy_read_timeout 200;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header SERVER_ADDR $server_addr;
        proxy_set_header SERVER_PORT $server_port;
        proxy_set_header REMOTE_ADDR $remote_addr;
        proxy_set_header REMOTE_PORT $remote_port;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        error_page 500 501 502 503 504 404 400 /error.html;
        location = /error.html {
        root /usr/local/nginx/html/;
}
}


二、创建ca证书

1、生成服务器私钥:

openssl genrsa -des3 -out server.key 1024

#des3是算法, -out [filename] 1024是长度,默认  会让你输入密码,不小于4个字符

2、创建签名请求的证书(CSR):

openssl req -new -key server.key -out server.csr

-new 创建一个新的证书请求文件 -key filename 指定私钥的输入文件,创建证书请求时需要 -out filename.csr 输出指定的文件名

3、在加载SSL支持的Nginx并使用上述私钥时除去必须的口令:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key

4、最后标记证书使用上述私钥和CSR

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

5、最后会有4个文件,有用的是server.crt和server.key,放到配置文件中指定的位置即可

server.crt  server.csr  server.key  server.key.org


最后启动nginx,访问http://ip/ 会强制跳转https,这里我是代理的两个tomcat节点,所以配置文件中使用的是proxy_pass


扩展:nginx中内置变量

$args                         请求中的参数,如www.abc.com/test/hello?a=1&b=2的$args就是a=1&b=2

$document_root        Nginx虚拟主机配置文件中的root参数对应的值

$document_uri          当前请求中不包含指令的URI,如www.test.com/test/ok?a=1&b=2的document_uri就是/test/hello,不包含后面的参数

$host                        主机头,也就是域名

$http_user_agent      客户端的详细信息,也就是浏览器的标识,用curl -A可以指定

$http_cookie             客户端的cookie信息

$limit_rate                 如果Nginx服务器使用limit_rate配置了显示网络速率,则会显示,如果没有设置,则显示0

$remote_addr           客户端的公网IP

$remote_port            客户端的端口

$request_method      请求资源的方式,GET/PUT/DELETE等

$request_filename     当前请求的资源文件的路径名称,相当于是$document_root/$document_uri的组合

$request_uri              请求的链接,包括$document_uri和$args

$scheme                   请求的协议,如ftp、http、https

$server_protocol       客户端请求资源使用的协议的版本,如HTTP/1.0,HTTP/1.1,HTTP/2.0等

$server_addr             服务器IP地址

$server_name           服务器的主机名

$server_port             服务器的端口号

$uri                          和$document_uri相同

$http_referer            客户端请求时的referer,通俗讲就是该请求是通过哪个链接跳过来的




标签:set,https,ssl,header,配置,server,Nginx,proxy,key

专注分享技术,共同学习,共同进步。

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有