Kaip apsaugoti „Nginx“ valdomą svetainę naudojant SSL ir saugius šifrus

Įvadas

SSL (reiškia Secure Sockets Layer ) ir jo įpėdinis TLS ( Transport Layer Security ) yra kriptografiniai protokolai, skirti saugiam ryšiui internetu. Jis gali būti naudojamas saugiam ryšiui su svetaine sukurti.

Įvadas

Įsitikinkite, kad jūsų serveryje yra įdiegtos Nginx ir OpenSSL. Šiame straipsnyje parodysime procesą sugeneruodami savarankiškai pasirašytą SSL sertifikatą.

1 veiksmas: sukurkite sertifikato ir privataus rakto katalogą

Mes sukursime katalogą (ir įvessime jį) viduje /etc/nginx (darant prielaidą, kad katalogas yra Nginx konfigūracijos katalogas):

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

2 veiksmas: sukurkite privatų raktą ir CSR

Pradėkime nuo svetainės privataus rakto sukūrimo. Šiame pavyzdyje naudosime 4096 bitų raktą, kad padidintume saugumą. Atkreipkite dėmesį, kad 2048 bitų taip pat yra saugus, bet NENAUDOKITE 1024 BITŲ PRIVAČIO RAKTO!

sudo openssl genrsa -out example.com.key 4096

Dabar sukurkite sertifikato pasirašymo užklausą (CSR), kad galėtumėte pasirašyti sertifikatą. Naudosime 512 bitų SHA-2. Atkreipkite dėmesį į -sha512parinktį.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Bus pateiktas laukų, kuriuos reikia užpildyti, sąrašai. Įsitikinkite, kad Common Namenustatytas jūsų domeno vardas! Be to, palikti A challenge passwordir An optional company nametuščia.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3 veiksmas: pasirašykite sertifikatą

Beveik baigta! Dabar belieka jį pasirašyti. Nepamirškite pakeisti 365 (galiojimo laikas baigiasi po 365 dienų) iki pageidaujamo dienų skaičiaus.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Dabar baigėme kurti savarankiškai pasirašytą sertifikatą.

4 veiksmas: nustatykite

Atidarykite Nginx pavyzdinį SSL konfigūracijos failą:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Panaikinkite komentarą skiltyje po eilutės HTTPS serveris . Atitiktų jūsų config žemiau pateiktą informaciją, pakeičiant example.comį server_nameeilutę su savo domeno pavadinimą arba IP adresą. Taip pat nustatykite savo šakninį katalogą.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Tada iš naujo paleiskite Nginx.

service nginx restart

Dabar apsilankykite savo svetainėje su httpsadresu ( https://your.address.tld). Jūsų žiniatinklio naršyklė parodys saugų ryšį naudojant jūsų pačių pasirašytą sertifikatą.