Kuinka suojata Nginx-käyttöinen verkkosivustosi SSL:n ja suojattujen salausten avulla

Johdanto

SSL (lyhenne sanoista Secure Sockets Layer ) ja sen seuraaja, TLS (lyhenne sanoista Transport Layer Security ) ovat salausprotokollia turvatakseen tiedonsiirron Internetissä. Sitä voidaan käyttää suojatun yhteyden luomiseen verkkosivustolle.

Johdanto

Varmista, että Nginx ja OpenSSL on asennettu palvelimellesi. Tässä artikkelissa esittelemme prosessin luomalla itse allekirjoitetun SSL-varmenteen.

Vaihe 1: Luo hakemisto varmenteelle ja yksityiselle avaimelle

Luomme hakemiston (ja kirjoitamme sen) /etc/nginx-kansioon (olettaen, että hakemisto on Nginxin asetushakemisto) seuraavasti:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

Vaihe 2: Luo yksityinen avain ja CSR

Aloitetaan luomalla sivuston yksityinen avain. Tässä esimerkissä käytämme 4096-bittistä avainta turvallisuuden parantamiseksi. Huomaa, että 2048-bittinen on myös turvallinen, mutta ÄLÄ KÄYTÄ 1024-BITTISTÄ YKSITYISTÄ AVAINTA!

sudo openssl genrsa -out example.com.key 4096

Luo nyt varmenteen allekirjoituspyyntö (CSR) varmenteen allekirjoittamista varten. Käytämme 512-bittistä SHA-2:ta. Huomaa -sha512vaihtoehto.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Se pyytää luetteloita kentistä, jotka on täytettävä. Varmista, että se Common Nameon asetettu verkkotunnuksellesi! Myös jätä A challenge passwordja An optional company nametyhjäksi.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Vaihe 3: Allekirjoita sertifikaatti

Melkein valmis! Nyt meidän on vain allekirjoitettava se. Älä unohda vaihtaa 365 (vanhenee 365 päivän kuluttua) haluamaasi määrään päiviä.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Nyt olemme tehneet itse allekirjoitetun todistuksen.

Vaihe 4: Määritä

Avaa Nginxin esimerkki SSL-konfiguraatiotiedosto:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Poista kommentit HTTPS-palvelinrivin alla olevasta osiosta . Sopii yhteen config alla olevat tiedot, korvaa example.comvuonna server_namelinjassa verkkotunnus tai IP-osoite. Aseta myös juurihakemistosi.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Käynnistä sitten Nginx uudelleen.

service nginx restart

Siirry nyt verkkosivustollesi httpsosoitteella ( https://your.address.tld). Web-selaimesi näyttää suojatun yhteyden käyttämällä itse allekirjoitettua varmennetta.