Hur du säkrar din Nginx-drivna webbplats med SSL och säkra chiffer

Introduktion

SSL (står för Secure Sockets Layer ) och dess efterföljare, TLS (står för Transport Layer Security ) är kryptografiska protokoll för att säkra kommunikation över Internet. Den kan användas för att skapa en säker anslutning till en webbplats.

Intro

Se till att Nginx och OpenSSL är installerade på din server. I den här artikeln kommer vi att demonstrera processen genom att generera ett självsignerat SSL-certifikat.

Steg 1: Skapa en katalog för certifikatet och den privata nyckeln

Vi skapar en katalog (och skriver in den) i /etc/nginx (förutsatt att katalogen är Nginx's konfigurationskatalog), genom att:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

Steg 2: Skapa privat nyckel och CSR

Låt oss börja med att skapa webbplatsens privata nyckel. I det här exemplet kommer vi att använda 4096-bitars nyckel för bättre säkerhet. Observera att 2048-bitars också är säkert, men ANVÄND INTE EN 1024-BITS PRIVAT NYCKEL!

sudo openssl genrsa -out example.com.key 4096

Skapa nu en begäran om certifikatsignering (CSR) för att signera certifikatet. Vi kommer att använda 512-bitars SHA-2. Notera -sha512alternativet.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Det kommer att visa en lista över fält som behöver fyllas i. Se till att Common Nameär inställt på ditt domännamn! Också, lämna A challenge passwordoch An optional company nametomt.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Steg 3: Signera ditt certifikat

Nästan klar! Nu måste vi bara skriva under. Glöm inte att byta ut 365 (förfaller efter 365 dagar) till det antal dagar du föredrar.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Nu har vi gjort ett självsignerat certifikat.

Steg 4: Konfigurera

Öppna Nginxs exempel SSL-konfigurationsfil:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Avkommentera i avsnittet under raden HTTPS Server . Matcha din konfiguration med informationen nedan, ersätt den example.comi server_nameraden med ditt domännamn eller IP-adress. Ställ även in din rotkatalog.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Starta sedan om Nginx.

service nginx restart

Besök nu din webbplats med en httpsadress ( https://your.address.tld). Din webbläsare visar en säker anslutning med ditt självsignerade certifikat.