背景
使用阿里雲下載免費版 DigiCert Inc 證照,並基於 Nginx web 伺服器安裝 SSL 證照
安裝步驟
在證照控制檯下載 Nginx 版本證照。下載到本地的壓縮檔案包解壓後包含:
.crt檔案:是證照檔案,crt 是 pem 檔案的副檔名。.key檔案:證照的私鑰檔案(申請證照時如果沒有選擇自動建立 CSR,則沒有該檔案)。
友情提示: .pem 副檔名的證照檔案採用 Base64-encoded 的 PEM 格式文字檔案,可根據需要修改副檔名。
以 Nginx 標準配置為例,假如證照檔名是 a.pem,私鑰檔案是 a.key。
在 Nginx 的安裝目錄下建立 cert 目錄,並且將下載的全部檔案拷貝到 cert 目錄中。如果申請證照時是自己建立的 CSR 檔案,請將對應的私鑰檔案放到 cert 目錄下並且命名為 a.key;
開啟 Nginx 安裝目錄下 conf 目錄中的 nginx.conf 檔案,找到:
# HTTPS server
# #server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# ssl_prefer_server_ciphers on;
# location / {
#
#
#}
#}
將其修改為 (以下屬性中 ssl 開頭的屬性與證照配置有直接關係,其它屬性請結合自己的實際情況複製或調整) :
server {
listen 443; # 在使用寶塔皮膚搭建的 LNMP 環境中,推薦 `listen 443 ssl http2;` 這麼寫
server_name localhost;
ssl on;
root html;
index index.html index.htm;
ssl_certificate cert/a.pem; # 這裡推薦寫絕對路徑
ssl_certificate_key cert/a.key; # 這裡推薦寫絕對路徑
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
自己使用寶塔皮膚 6.9.8 免費版,搭建 LNMP 環境時的 nginx 配置檔案
server
{
listen 80;
# 寶塔中建議這麼寫監聽 443 埠
listen 443 ssl http2;
server_name www.drling.xin;
index index.php index.html index.htm default.php default.htm default.html;
root /www/wwwroot/larablog/public;
# 強制開啟 https ,當訪問 http 時,直接強制跳轉到 https
#HTTP_TO_HTTPS_START
if ($server_port !~ 443){
rewrite ^(/.*)$ https://$host$1 permanent;
}
#HTTP_TO_HTTPS_END
limit_conn perserver 3000;
limit_conn perip 25;
limit_rate 512k;
# 這裡直接採用寶塔皮膚,將 ssl 資訊通過 [其他證照] 欄,匯入進去,因此 nginx 配置檔案由寶塔皮膚自行寫入。
# 若需要自己寫入配置檔案,以下引數可以這樣寫,如下:
# ssl_certificate /www/server/panel/vhost/aliyun-ssl/1939426_drling.xin.pem;
# ssl_certificate_key /www/server/panel/vhost/aliyun-ssl/1939426_drling.xin.key;
#SSL-START SSL相關配置,請勿刪除或修改下一行帶註釋的404規則
#error_page 404/404.html;
ssl_certificate /www/server/panel/vhost/cert/www.drling.xin/fullchain.pem;
ssl_certificate_key /www/server/panel/vhost/cert/www.drling.xin/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
error_page 497 https://$host$request_uri;
#SSL-END
#ERROR-PAGE-START 錯誤頁配置,可以註釋、刪除或修改
#error_page 404 /404.html;
#error_page 502 /502.html;
#ERROR-PAGE-END
#PHP-INFO-START PHP引用配置,可以註釋或修改
include enable-php-73.conf;
#PHP-INFO-END
#REWRITE-START URL重寫規則引用,修改後將導致皮膚設定的偽靜態規則失效
include /www/server/panel/vhost/rewrite/www.drling.xin.conf;
#REWRITE-END
#禁止訪問的檔案或目錄
location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
{
return 404;
}
#一鍵申請SSL證照驗證目錄相關設定
location ~ \.well-known{
allow all;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
error_log off;
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
expires 12h;
error_log off;
access_log /dev/null;
}
access_log /www/wwwlogs/www.drling.xin.log;
error_log /www/wwwlogs/www.drling.xin.error.log;
}
結束語
安裝完畢之後你可以使用SSL Server Test – 安全測試工具 去測試下你的 HTTPS 是否夠安全
參考文件
原文連結地址
本作品採用《CC 協議》,轉載必須註明作者和本文連結