时间戳

首页 > 技术文章 > nginx配置https服务器

nginx配置https服务器

shipment 2020-08-11 09:49 原文

目录

nginx配置https服务器

1. https配置参数

要配置 HTTPS 服务器,必须在server配置块中打开SSL协议,还需要指定服务器端证书和密钥文件的位置

服务器证书是公开的,会被传送到每一个连接到服务器的客户端。而私钥不是公开的,需要存放在访问受限的文件中,当然,nginx主进程必须有读取密钥的权限。私钥和证书可以存放在同一个文件中:

    ssl_certificate     www.example.com.cert;
    ssl_certificate_key www.example.com.cert;

这种情况下,证书文件同样得设置访问限制。当然,虽然证书和密钥存放在同一个文件,只有证书会发送给客户端,密钥不会发送。

ssl_protocolsssl_ciphers指令可以用来强制用户连接只能引入SSL/TLS那些强壮的协议版本和强大的加密算法。从1.0.5版本开始,nginx默认使用“ssl_protocols SSLv3 TLSv1”和“ssl_ciphers HIGH:!aNULL:!MD5”,所以只有在之前的版本,明确地配置它们才是有意义的。从1.1.13和1.0.12版本开始,nginx默认使用“ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2”。

CBC模式的加密算法容易受到一些攻击,尤其是BEAST攻击(参见CVE-2011-3389)。可以通过下面配置调整为优先使用RC4-SHA加密算法:

    ssl_ciphers RC4:HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

优化参数:

SSL操作占用额外的CPU资源。多处理器系统工人过程应该运行,不少于可用CPU核心的数量。最密集的CPU操作是SSL握手.有两种方法可以最大限度地减少每个客户端的这些操作数:第一种方法是启用保活连接通过一个连接发送多个请求,第二个连接是重用SSL会话参数,以避免对并行连接和后续连接进行SSL握手。会话存储在工作人员共享的ssl会话缓存中,并由SSL会话缓存指令。一个兆字节的缓存包含大约4000个会话。默认的缓存超时为5分钟。可以通过使用SSL会话超时指令。下面是为具有10 MB共享会话缓存的多核系统优化的示例配置:

worker_processes auto;

http {
    ssl_session_cache   shared:SSL:10m;
    ssl_session_timeout 10m;

    server {
        listen              443 ssl;
        server_name         www.example.com;
        keepalive_timeout   70;

        ssl_certificate     www.example.com.crt;
        ssl_certificate_key www.example.com.key;
        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers         HIGH:!aNULL:!MD5;
        ...

默认配置:

server {
        listen       443 ssl;	
        server_name  localhost;

        ssl_certificate      cert.pem;		
        ssl_certificate_key  cert.key;		

		
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;		
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

2. 配置https服务器

环境说明

系统 IP 安装环境
centos7 192.168.32.125 lnmp

已关闭防火墙和selinux,并配置好了yum源,包括epel源

#证书位置
[root@www ~]# ls /usr/local/nginx/ssl/
www.test.com.crt  www.test.com.key

#配置https,取消注释,修改相关配置参数
[root@www ~]# vim /usr/local/nginx/conf/nginx.conf
......

    # HTTPS server

    server {
        listen       443 ssl;
        server_name  localhost;

        ssl_certificate      cert.pem;
        ssl_certificate_key  cert.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }


......

访问测试

3. 配置http/https服务器

配置一台同时处理HTTP和HTTPS请求的服务器:

[root@www ~]# vim /usr/local/nginx/conf/nginx.conf
......
server {
        listen       80;
        listen       443 ssl;
        server_name  www.test.com;

        ssl_certificate      /usr/local/nginx/ssl/www.test.com.crt;
        ssl_certificate_key  /usr/local/nginx/ssl/www.test.com.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }
......
[root@www ~]# nginx -s reload

推荐阅读