Sådan sikrer du dit Nginx-drevne websted ved hjælp af SSL og sikre chiffere

Introduktion

SSL (står for Secure Sockets Layer ) og dets efterfølger, TLS (står for Transport Layer Security ) er kryptografiske protokoller til at sikre kommunikation over internettet. Det kan bruges til at skabe en sikker forbindelse til en hjemmeside.

Intro

Sørg for, at Nginx og OpenSSL er installeret på din server. I denne artikel vil vi demonstrere processen ved at generere et selvsigneret SSL-certifikat.

Trin 1: Opret en mappe til certifikatet og den private nøgle

Vi opretter en mappe (og indtaster den) inde i /etc/nginx (forudsat at mappen er Nginx's config-mappe), ved at:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

Trin 2: Opret privat nøgle og CSR

Lad os starte med at oprette webstedets private nøgle. I dette eksempel bruger vi en 4096-bit nøgle for at øge sikkerheden. Bemærk, at 2048-bit også er sikkert, men BRUG IKKE EN 1024-BIT PRIVAT NØGLE!

sudo openssl genrsa -out example.com.key 4096

Opret nu en certifikatsigneringsanmodning (CSR) til signering af certifikatet. Vi bruger 512-bit SHA-2. Bemærk -sha512muligheden.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Det vil vise en lister over felter, der skal udfyldes. Sørg for, at Common Nameer indstillet til dit domænenavn! Også, forlad A challenge passwordog An optional company nameblank.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Trin 3: Underskriv dit certifikat

Næsten færdig! Nu skal vi bare skrive under. Glem ikke at erstatte 365 (udløber efter 365 dage) til det antal dage, du foretrækker.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Nu er vi færdige med at lave et selvsigneret certifikat.

Trin 4: Konfigurer

Åbn Nginx' eksempel på SSL-konfigurationsfil:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Fjern kommentarer i afsnittet under linjen HTTPS Server . Match din konfiguration med oplysningerne nedenfor, og erstat den example.comi server_namelinjen med dit domænenavn eller din IP-adresse. Indstil også din rodmappe.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Genstart derefter Nginx.

service nginx restart

Besøg nu dit websted med en httpsadresse ( https://your.address.tld). Din webbrowser viser en sikker forbindelse ved hjælp af dit selvsignerede certifikat.