NGINX配置HTTPS完整教程(nginx配置http2.0)
完整的 NGINX 配置 HTTPS 的教程
在现代互联网环境中,HTTPS(超文本传输安全协议)已成为保障网站安全的重要标准。通过 SSL/TLS 协议对通信进行加密,HTTPS 可以有效防止中间人攻击、数据泄露等安全问题。本文将详细介绍如何在 NGINX 上配置 HTTPS,确保网站访问的安全性。
1. 获取 SSL 证书
首先,在配置 HTTPS 之前,需要获取一个有效的 SSL 证书。可以选择购买商业 SSL 证书,也可以使用免费的 Let’s Encrypt 来申请证书。通常有两种方式:
- 购买商业证书:从受信任的证书颁发机构(CA)购买证书,例如 DigiCert、GlobalSign 等。
- 免费证书:通过 Let's Encrypt 获取免费的 SSL 证书。Let's Encrypt 提供自动化证书申请与续期服务。
一旦获得证书,通常会得到以下两个文件:
- 证书文件 (.crt 或 .pem)。
- 私钥文件 (.key)。
请将这些文件上传到您的 NGINX 服务器上,并确保它们的权限设置正确,以防止其他用户读取。
2. 配置 NGINX 使其支持 HTTPS
步骤 1:编辑 NGINX 配置文件
打开 NGINX 配置文件,一般位于 /etc/nginx/nginx.conf 或
/etc/nginx/sites-available/default。在配置文件中,找到 server 块,并进行修改。
步骤 2:配置 HTTP 到 HTTPS 的重定向
为了确保用户访问 HTTP 协议时自动跳转到 HTTPS,我们需要设置一个重定向规则。修改如下:
server {
listen 80;
server_name your_domain.com;
# 强制 HTTP 到 HTTPS 的重定向
return 301 https://$host$request_uri;
}
解释:
- listen 80;:监听 80 端口(即 HTTP 请求)。
- server_name your_domain.com;:将此行替换为您自己域名。
- return 301 https://$host$request_uri;:这条配置表示所有 HTTP 请求将被永久重定向到 HTTPS。
步骤 3:配置 HTTPS 的 server 块
接下来,配置 NGINX 监听 443 端口并启用 SSL:
server {
listen 443 ssl;
server_name your_domain.com;
# 指定 SSL 证书路径
ssl_certificate /path/to/your_domain_com.crt;
ssl_certificate_key /path/to/your_domain_com.key;
# 配置 SSL 协议和加密套件
ssl_protocols TLSv1.2 TLSv1.3; # 推荐启用 TLS 1.2 和 1.3
ssl_prefer_server_ciphers on; # 启用服务器端优先的加密套件
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"; # 安全的加密套件
ssl_session_cache shared:SSL:10m; # 启用 SSL 会话缓存以提升性能
ssl_session_timeout 10m; # 设置会话超时时间
# 配置其他 HTTP 头部以增强安全性
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; # 启用 HTTP Strict Transport Security (HSTS)
add_header X-Frame-Options SAMEORIGIN; # 防止点击劫持
add_header X-XSS-Protection "1; mode=block"; # 启用 XSS 防护
add_header X-Content-Type-Options nosniff; # 防止 MIME 类型嗅探
# 其他的 web 配置...
}
解释:
- listen 443 ssl;:监听 443 端口并启用 SSL。
- ssl_certificate 和 ssl_certificate_key:指定 SSL 证书和私钥的路径。
- ssl_protocols TLSv1.2 TLSv1.3;:启用 TLS 1.2 和 1.3 协议,建议使用 TLSv1.3。
- ssl_ciphers:设置使用的加密套件,以确保安全性。
- ssl_session_cache 和 ssl_session_timeout:启用 SSL 会话缓存,提高性能。
- HSTS:HTTP 严格传输安全策略,强制客户端仅通过 HTTPS 访问,防止中间人攻击。
3. 重启 NGINX 服务
配置完成后,需要重启 NGINX 使其生效:
sudo service nginx restart
或者使用:
sudo systemctl restart nginx
这样,NGINX 将加载新的配置并开始使用 HTTPS 服务。
4. 验证 HTTPS 配置
完成配置并重启 NGINX 后,您可以通过以下方式验证 HTTPS 是否生效:
- 在浏览器中访问 https://your_domain.com,检查是否可以成功访问并且地址栏中显示安全锁图标。
- 使用 curl 命令验证 HTTPS 请求:
- curl -I https://your_domain.com
- 如果看到 HTTP/1.1 200 OK 或类似响应,则说明 HTTPS 配置成功。
5. 常见的额外安全配置
为了进一步增强 HTTPS 安全性,可以考虑以下配置:
- OCSP Stapling:启用 OCSP(在线证书状态协议)来验证证书是否被吊销。
- ssl_stapling on; ssl_stapling_verify on;
- 更强的加密配置:可以使用 Mozilla 推荐的加密套件(Mozilla SSL Configuration Generator)生成适合您环境的配置。
- TLS 密码套件限制:只启用现代且安全的密码套件,禁用弱密码。
- ssl_ciphers 'ECDHE+AESGCM:ECDHE+AES128:!EXPORT:!DES:!3DES:!RC4:!MD5:!SSLv3';
总结
通过上述步骤,您已经成功在 NGINX 上配置了 HTTPS。配置 HTTPS 不仅能够加密客户端和服务器之间的通信,还能增强网站的安全性,保护用户隐私。以下是本教程的关键点总结:
配置项 | 说明 |
证书路径 |
|
重定向 HTTP 到 HTTPS | return 301 https://$host$request_uri; |
SSL 协议 | ssl_protocols TLSv1.2 TLSv1.3; |
加密套件 | ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"; |
HSTS | add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; |
OCSP Stapling | ssl_stapling on; |
通过合理的配置和优化,您可以提高网站的安全性,确保用户在访问时获得安全的加密连接。