NGINX配置SSL支援

前言

在文章-騰訊雲申請免費SSL證照中, 我們已經申請好了SSL證照. 那麼現在, 我們就要配置全站SSL了! ???

這次的工作主要是NGINX的配置, 同時會有一些我的部落格本身的配置.

部落格本身配置更改包括: (這篇文章就先不細說了)

• 網頁內連結全部從http改為https(其實配置下SITEURL, 工具會自動生成好) 並重新發布. (特別要注意, 如果有的站內css, js等沒有用https就尷尬了, 會被各類瀏覽器攔截掉, 並提示"不安全的指令碼")
• 網站有用到的第三方工具(如撥測), 把網站的地址改為 https開頭的.

NGINX配置

首先, 建立並上傳準備好的證照檔案到指定目錄: (crt和key檔案)

$ sudo mkdir -p /etc/pki/nginx/
# 透過sftp上傳到該目錄

進行nginx.conf 的ssl配置, 本次主要涉及到server塊的配置更改, 如下: (具體的指令作用見註釋)

    server {
        listen       80;
        server_name  www.ewhisper.cn;
        return 301 https://$host$request_uri;
    }
	server {
        listen       443 ssl http2;
        server_name  www.ewhisper.cn;
        root         /usr/share/nginx/html;  # 靜態部落格的存放位置

        ssl_certificate "/etc/pki/nginx/1_www.ewhisper.cn_bundle.crt";  # 證照路徑
        ssl_certificate_key "/etc/pki/nginx/2_www.ewhisper.cn.key";  # 證照金鑰路徑
        ssl_session_cache shared:SSL:50m;  # ssl session cache分配50m空間, 快取ssl session
        ssl_session_timeout  1d;  # ssl session 超時時間為1天
        ssl_session_tickets off;  # ssl session ticket 機制, 部分版本有bug, 視情況開啟.

        ssl_protocols TLSv1.2;  # ssl 協議版本
        ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';  # ssl ciphers
        ssl_prefer_server_ciphers on;  # 傾向於使用server端的ciphers

        # HSTS 6 months
        add_header Strict-Transport-Security max-age=15768000;  
        # 新增個http header, 告訴瀏覽器直接轉到https, 此功能有風險, 慎重選擇. 
        # (比如你的證照過期忘記續了, 那麼使用者想轉到http都沒辦法)

        ssl_stapling on;  # 啟用ssl OCSP stapling功能, 服務端主動查詢OCSP結果, 提高TLS效率
        ssl_stapling_verify on;  # 開啟OCSP stapling 驗證

        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;  # 我的部落格的location在這裡配置

        #location / {
        #}

        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50X.html;
            location = /50X.html {
        }
    }

? 說明:

以上的某些指令, 我先大概介紹下, 後續會有文章做詳細介紹.

1. return 301 https://$host$request_uri; HTTP的全部永久重定向到https對應的URL
2. /usr/share/nginx/html 靜態部落格的存放位置
3. ssl_session_timeout 1d; ssl session 超時時間為1天
4. ssl_session_tickets off; # ssl session ticket 機制, 部分版本有bug, 視情況開啟.
5. ssl_prefer_server_ciphers on; 傾向於使用server端的ciphers
6. HSTS功能:　新增個HTTP header, 告訴瀏覽器直接轉到https, ❗此功能有風險, 慎重選擇. (比如你的證照過期忘記續了, 那麼使用者想轉到HTTP都沒辦法)
7. ssl_stapling on; 啟用ssl OCSP stapling功能, 服務端主動查詢OCSP結果, 提高TLS握手效率
8. /etc/nginx/default.d/*.conf; 我的部落格location配置

? 小技巧:

火狐瀏覽器背後的基金會, 開源了一個非常好用的工具: ssl-config-generator

在這上邊, 點一點就可以自動生成推薦的SSL配置了.

提一點, 如上圖所示, 第二列一定要根據你的客戶瀏覽器或客戶端的版本使用情況慎重選擇.

比如, 使用者還在用Windows XP, IE6, Java 6, 那麼只能選擇Old.

接下來, 就是要重啟nginx來生效了.

$ sudo nginx -t  # 測試配置, 沒問題再重啟
$ sudo systemctl reload nginx.service

重啟後, 測試發現 css js都沒有生效. ???

因為之前nginx剛配置過快取. 當時腦子沒轉過來, 沒有第一時間意識到可能是瀏覽器快取的問題. 就直接nginx stop 再start了下. 結果悲催的我的網站可用性就從100%跌到99.81%了.

後來終於意識到可能是瀏覽器快取的問題了, 清理了快取後, 再啟動, 終於頁面顯示正常, 圖示也從"不安全"變成了小鎖.

測試訪問http://www.ewhisper.cn, 也會被強制轉到 https://www.ewhisper.cn. 完美!

我的SSL評級

再來介紹個好東西 - SSL Labs. 可以對你的網站進行SSL 安全評級.

點選連結, 輸入網站地址, 喝杯茶, 結果就出來了 - A+ 哈哈哈哈哈!!!!

最後附上我的完整報告

三人行, 必有我師; 知識共享, 天下為公. 本文由東風微鳴技術部落格 EWhisper.cn 編寫.