Com protegir el vostre lloc web alimentat per Nginx mitjançant SSL i xifratge segur

Introducció

SSL (siglas de Secure Sockets Layer ) i el seu successor, TLS (significa de Transport Layer Security ) són protocols criptogràfics per assegurar la comunicació a través d'Internet. Es pot utilitzar per crear una connexió segura a un lloc web.

Introducció

Assegureu-vos que Nginx i OpenSSL estiguin instal·lats al vostre servidor. En aquest article, demostrarem el procés generant un certificat SSL autofirmat.

Pas 1: creeu un directori per al certificat i la clau privada

Crearem un directori (i l'introduirem) dins de /etc/nginx (suposant que el directori és el directori de configuració de Nginx), per:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

Pas 2: creeu la clau privada i la CSR

Comencem per crear la clau privada del lloc. En aquest exemple, utilitzarem claus de 4096 bits per a una seguretat més forta. Tingueu en compte que 2048-bit també és segur, però NO UTILITZAR UNA CLAU PRIVADA DE 1024-BIT!

sudo openssl genrsa -out example.com.key 4096

Ara, creeu una sol·licitud de signatura de certificat (CSR) per signar el certificat. Utilitzarem SHA-2 de 512 bits. Tingueu en compte l' -sha512opció.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Us demanarà una llista de camps que s'han d'omplir. Assegureu-vos que Common Nameestigui configurat amb el vostre nom de domini! A més, deixa A challenge passwordi An optional company nameen blanc.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Pas 3: Signa el teu certificat

Quasi fet! Ara només ens queda signar-lo. No oblideu substituir 365 (caducitat després de 365 dies) pel nombre de dies que preferiu.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Ara hem acabat de fer un certificat autofirmat.

Pas 4: Configuració

Obriu l'exemple de fitxer de configuració SSL de Nginx:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Descomenteu dins de la secció sota la línia Servidor HTTPS . Relacioneu la vostra configuració amb la informació següent, substituint la example.comde la server_namelínia pel vostre nom de domini o adreça IP. També configureu el vostre directori arrel.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

A continuació, reinicieu Nginx.

service nginx restart

Ara, visiteu el vostre lloc web amb una httpsadreça ( https://your.address.tld). El vostre navegador web mostrarà una connexió segura amb el vostre certificat autofirmat.