nginx配置https-http2
# SSL 证书
SSL 证书通常需要购买,也有免费的,通过第三方 SSL 证书机构颁发。也可以在云服务商上购买,但是一般免费的 ssl 证书只能支持单个域名。
这里推荐 Let’s Encrypt (opens new window) 机构,然后使用 acme.sh (opens new window) 从 letsencrypt 生成免费的证书,且可以生成泛域名证书。
参考 acme.sh 中文 wiki (opens new window) 、使用 acme.sh 部署 Let's Encrypt 通过阿里云 DNS 验证方式实现泛域名 HTTPS (opens new window)
PS:
- 建议使用 DNS 验证
--dns dns_ali是根据不同服务商来的,dns_ali就是指阿里云。其他服务商的参考 How to use DNS API (opens new window) 。- 证书生成后,默认在
~/.acme.sh/目录下,这里的文件是内部使用的,需要使用--installcert命令指定到目标位置
这里将证书放到了 nginx 的 conf 目录下。.../conf/ssl/...
# 配置
# http配置
# http基础配置
http 的配置很简单,配置如下,我们先让网站可以访问起来。
server {
listen 80;
server_name ite.top www.ite.top;
location / {
root /var/www/main;
index index.html;
}
}
2
3
4
5
6
7
8
9
# https配置
# https基础配置
server {
listen 443 ssl;
server_name ite.top www.ite.top;
ssl_certificate ssl/fullchain.cer;
ssl_certificate_key ssl/ite.top.key;
location / {
root /var/www/main;
index index.html;
}
}
2
3
4
5
6
7
8
9
10
11
# 修改 http 配置
但是用 http:// 访问,仍旧显示连接不安全,我们需要修改配置,当访问 http 时会重定向到 https 如下
server {
listen 80;
server_name ite.top www.ite.top;
return 301 https://$server_name$request_uri;
}
2
3
4
5
这时再用 http:// 访问,就会重定向到 https://
PS:网上也有许多使用 rewrite 来重定向,但是 return 指令简单高效,建议尽量使用 return
# 完整配置
server {
listen 80;
server_name ite.top www.ite.top;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name ite.top www.ite.top;
ssl_certificate ssl/fullchain.cer;
ssl_certificate_key ssl/ite.top.key;
location / {
root /var/www/main;
index index.html;
}
}
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# 混合配置
server {
listen 80;
listen 443 ssl;
server_name ite.top www.ite.top;
ssl_certificate ssl/fullchain.cer;
ssl_certificate_key ssl/ite.top.key;
location / {
root /var/www/main;
index index.html;
}
}
2
3
4
5
6
7
8
9
10
11
12
# https 安全
# 加密套件
https 默认采用 SHA-1 算法,非常脆弱。我们可以使用迪菲-赫尔曼密钥交换 (opens new window)。
在 /conf/ssl 目录下生成 dhparam.pem 文件
openssl dhparam -out dhparam.pem 2048
下面的指令 ssl_protocols 和 ssl_ciphers 是用来限制连接只包含 SSL/TLS 的加強版本和算法。
# 优先采取服务器算法
ssl_prefer_server_ciphers on;
# 使用 DH 文件
ssl_dhparam ssl/dhparam.pem;
# 协议版本
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 定义算法
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
2
3
4
5
6
7
8
# 安全的响应头
# 启用 HSTS 。允许 https 网站要求浏览器总是通过 https 来访问
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
# 减少点击劫持
add_header X-Frame-Options DENY;
# 禁止服务器自动解析资源类型
add_header X-Content-Type-Options nosniff;
# 防XSS攻擊
add_header X-Xss-Protection 1;
2
3
4
5
6
7
8
# http2 配置
http2 配置很简单,只要后面增加 http2。
下面 [::]: 表示 ipv6 的配置,不需要可以不加那一行
listen 80;
listen [::]:80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
2
3
4
# 完整配置
server {
listen 80;
listen [::]:80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ite.top www.ite.top;
ssl_certificate ssl/fullchain.cer;
ssl_certificate_key ssl/ite.top.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_prefer_server_ciphers on;
ssl_dhparam ssl/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-Xss-Protection 1;
location / {
root /var/www/main;
index index.html;
}
}
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
# 配置优化
为了让更多的二级域名支持上面的功能,每个 server 都这么写太过于繁琐。
可以将 listen 443 、ssl、add_header 相关的单独写在一个文件上,然后使用 inculde 指令。
如下:其他的配置都放在了conf.d/https-base.conf中
server {
listen 8099;
listen [::]:8099;
server_name test.ite.top;
include conf.d/https-base.conf;
location / {
root /var/www/test;
index index.html;
}
}
2
3
4
5
6
7
8
9
10
11
12
# 简单示例
# 相关链接
https://juejin.cn/post/6844904063688179720