Hvernig á að tryggja Nginx-knúna vefsíðu þína með því að nota SSL og örugga dulmál

Kynning

SSL (standar fyrir Secure Sockets Layer ) og arftaki þess, TLS (standar fyrir Transport Layer Security ) eru dulmálssamskiptareglur til að tryggja samskipti yfir internetið. Það er hægt að nota til að búa til örugga tengingu við vefsíðu.

Inngangur

Gakktu úr skugga um að Nginx og OpenSSL séu uppsett á netþjóninum þínum. Í þessari grein munum við sýna fram á ferlið með því að búa til sjálfundirritað SSL vottorð.

Skref 1: Búðu til möppu fyrir vottorðið og einkalykilinn

Við munum búa til möppu (og slá hana inn) inni í /etc/nginx (að því gefnu að skráin sé stillingarskrá Nginx), með því að:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

Skref 2: Búðu til einkalykil og CSR

Byrjum á því að búa til einkalykil síðunnar. Í þessu dæmi munum við nota 4096 bita lykil til að auka öryggi. Athugaðu að 2048-bita er líka öruggt, en EKKI NOTA 1024-BIT PRIVATE LYKILL!

sudo openssl genrsa -out example.com.key 4096

Nú skaltu búa til vottorð undirritunarbeiðni (CSR) til að undirrita vottorðið. Við munum nota 512-bita SHA-2. Athugaðu -sha512valmöguleikann.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Það mun hvetja til lista yfir reiti sem þarf að fylla út. Gakktu úr skugga um að það Common Namesé stillt á lénið þitt! Einnig, skildu A challenge passwordog An optional company nameautt.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Skref 3: Skrifaðu undir vottorðið þitt

Næstum lokið! Nú verðum við bara að skrifa undir. Ekki gleyma að skipta út 365 (rennur út eftir 365 daga) í þann fjölda daga sem þú vilt.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Nú erum við búin að búa til sjálfundirritað vottorð.

Skref 4: Settu upp

Opnaðu dæmi um SSL stillingarskrá Nginx:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Hættu að skrifa athugasemdir í hlutanum undir línunni HTTPS Server . Passaðu stillinguna þína við upplýsingarnar hér að neðan, skiptu út example.comí server_namelínunni fyrir lénið þitt eða IP tölu. Stilltu líka rótarskrána þína.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Endurræstu síðan Nginx.

service nginx restart

Farðu nú á vefsíðuna þína með httpsheimilisfangi ( https://your.address.tld). Vafrinn þinn mun sýna örugga tengingu með því að nota sjálfritaða vottorðið þitt.