Як захистити свій веб-сайт на базі Nginx за допомогою SSL і безпечних шифрів

Вступ

SSL (розшифровується як Secure Sockets Layer ) і його наступник TLS (розшифровується як Transport Layer Security ) — це криптографічні протоколи для безпечного зв’язку через Інтернет. Його можна використовувати для створення безпечного підключення до веб-сайту.

Вступ

Переконайтеся, що на вашому сервері встановлено Nginx і OpenSSL. У цій статті ми продемонструємо процес, створивши самопідписаний сертифікат SSL.

Крок 1: Створіть каталог для сертифіката та приватного ключа

Ми створимо каталог (і введемо його) всередині /etc/nginx (припускаючи, що цей каталог є каталогом конфігурації Nginx), шляхом:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

Крок 2: Створіть закритий ключ і CSR

Почнемо зі створення приватного ключа сайту. У цьому прикладі ми будемо використовувати 4096-бітний ключ для більшої безпеки. Зауважте, що 2048-бітний також безпечний, але НЕ ВИКОРИСТОВУЙТЕ 1024-БІТНИЙ ПРИВАТНИЙ КЛЮЧ!

sudo openssl genrsa -out example.com.key 4096

Тепер створіть запит на підписання сертифіката (CSR) для підписання сертифіката. Ми будемо використовувати 512-бітний SHA-2. Зверніть увагу на -sha512варіант.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Він запропонує списки полів, які потрібно заповнити. Переконайтеся, що Common Nameвстановлено ім’я вашого домену! Крім того, залиште A challenge passwordі An optional company nameпорожнім.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Крок 3: Підпишіть свій сертифікат

Майже зроблено! Тепер нам залишається лише підписати це. Не забудьте замінити 365 (термін дії закінчується через 365 днів) на кількість днів, яку ви віддаєте перевагу.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Тепер ми закінчили створення самопідписаного сертифіката.

Крок 4: Налаштуйте

Відкрийте приклад файлу конфігурації SSL Nginx:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Розкоментуйте в розділі під рядком HTTPS-сервер . Зіставте свою конфігурацію з наведеною нижче інформацією, замінивши example.comв server_nameрядку ім’я вашого домену або IP-адресу. Також встановіть свій кореневий каталог.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Потім перезапустіть Nginx.

service nginx restart

Тепер перейдіть на свій веб-сайт із httpsадресою ( https://your.address.tld). Ваш веб-переглядач покаже безпечне з’єднання за допомогою вашого самопідписаного сертифіката.