Nginx配置深度优化:实现 HTTPS 加密访问 + 精准域名绑定 + 全维度安全加固

最新推荐文章于 2025-12-05 20:50:35 发布
原创 最新推荐文章于 2025-12-05 20:50:35 发布 · 283 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #https #安全 #github #后端 #运维 #html

我来帮您优化nginx配置,实现通过 https://jinhuitech.top 访问您的官网。配置将包括HTTPS设置、域名绑定和安全优化。

由于文件系统限制,我直接为您提供优化配置的部署步骤:

图片

🚀 部署步骤

1. 创建网站目录和备份当前配置

# 创建网站目录
sudo mkdir -p /etc/www/website

# 备份当前nginx配置
sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup

2. 创建SSL证书目录

# 创建SSL证书目录
sudo mkdir -p /etc/nginx/ssl

3. 获取SSL证书(推荐使用Let's Encrypt)

# 安装certbot
sudo yum install -y certbot python3-certbot-nginx

# 获取SSL证书
sudo certbot --nginx -d jinhuitech.top -d www.jinhuitech.top

# 或者手动获取证书
sudo certbot certonly --nginx -d jinhuitech.top -d www.jinhuitech.top

4. 更新nginx配置

将当前的nginx.conf替换为优化配置:

# 创建新的nginx配置
sudo tee /etc/nginx/nginx.conf > /dev/null << 'EOF'
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /run/nginx.pid;

include /usr/share/nginx/modules/*.conf;

events {
    worker_connections 1024;
    use epoll;
    multi_accept on;
}

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                   '$status $body_bytes_sent "$http_referer" '
                   '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 4096;
    client_max_body_size 100M;
    
    # Gzip压缩
    gzip on;
    gzip_vary on;
    gzip_min_length 1024;
    gzip_comp_level 6;
    gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    # HTTP重定向到HTTPS
    server {
        listen 80;
        listen [::]:80;
        server_name jinhuitech.top www.jinhuitech.top;
        return 301 https://$server_name$request_uri;
    }

    # HTTPS服务器
    server {
        listen 443 ssl http2;
        listen [::]:443 ssl http2;
        server_name jinhuitech.top www.jinhuitech.top;
        
        root /etc/www/website;
        index index.html index.htm;

        # SSL配置 - 使用Let's Encrypt证书
        ssl_certificate /etc/letsencrypt/live/jinhuitech.top/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/jinhuitech.top/privkey.pem;
        
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers off;
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 10m;
        
        # 安全头
        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
        add_header X-Frame-Options "SAMEORIGIN" always;
        add_header X-Content-Type-Options "nosniff" always;

        # 静态文件缓存
        location ~* \.(jpg|jpeg|png|gif|ico|css|js|pdf|txt)$ {
            expires 1y;
            add_header Cache-Control "public, immutable";
        }

        location / {
            try_files $uri$uri/ /index.html;
        }

        # 隐藏nginx版本
        server_tokens off;

        # 错误页面
        error_page 404 /404.html;
        error_page 500 502 503 504 /50x.html;
    }
}
EOF

5. 部署网站文件

# 将您的网站文件上传到 /etc/www/website/ 目录
# 确保有index.html文件
sudo chown -R nginx:nginx /etc/www/website
sudo chmod -R 755 /etc/www/website

6. 测试和启动nginx

# 测试nginx配置
sudo nginx -t

# 重启nginx
sudo systemctl restart nginx

# 检查状态
sudo systemctl status nginx

7. 配置防火墙

# 开放HTTP和HTTPS端口
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

# 或者手动开放端口
sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
sudo firewall-cmd --reload

8. 域名解析配置

确保您的域名DNS解析指向服务器IP:

  • A记录:jinhuitech.top → 47.238.98.71

  • CNAME记录:www.jinhuitech.top → jinhuitech.top

🔧 SSL证书自动续期

# 设置Let's Encrypt自动续期
sudo crontab -e
# 添加以下行(每天检查证书并自动续期)
0 12 * * * /usr/bin/certbot renew --quiet

📋 验证部署

部署完成后,验证配置:

# 检查nginx配置
sudo nginx -t

# 检查SSL证书
openssl s_client -connect jinhuitech.top:443 -servername jinhuitech.top

# 测试HTTP重定向
curl -I http://jinhuitech.top

# 测试HTTPS访问
curl -I https://jinhuitech.top

🚨 重要提醒

  1. SSL证书路径:配置中使用了Let's Encrypt证书路径,如果使用其他证书,请修改路径

  2. 域名解析:确保域名已正确解析到您的服务器IP

  3. 网站文件:将您的静态网站文件放置在 /etc/www/website/ 目录

  4. 阿里云安全组:确保开放了80和443端口

配置完成后,您就可以通过 https://jinhuitech.top 访问您的官网了!

IT技术交流群:

图片

Jenkins安全防护与性能优化详解:从原理到实践的方位指南
weixin_42593797的博客
05-28 1596
本文深入探讨Jenkins的安全防护与性能优化策略。在安全方面,详细介绍了基于角色的权限管理、双因素认证、插件漏洞扫描、HTTPS强制配置等关键措施,并提供了具体配置代码。性能优化部分涵盖JVM参数调优、分布式构建配置和构建缓存优化等技巧,包含内存分配、垃圾回收优化以及代理节点设置等实用方案。通过实施这些策略,开发者能够构建既安全又高效的Jenkins自动化构建平台,提升软件开发流程的稳定性和效率。
Nginx(14)-HTTPS优化配置及典型问题
davidwkx的博客
11-16 1950
HTTPS是在 HTTP 协议的基础上使用 TLS/SSL 加密,其主要目标是提高数据传输的安全性。从HTTP2.0开始,HTTPS已经是网站的标准协议,很多开放平台非HTTPS不能访问NginxHTTPS提供了强大的支持,且对应用服务器是完透明的。
Nginx 配置 HTTPS 优化性能有哪些要点?
2501_90410679的博客
09-14 29
本文介绍了Nginx配置HTTPS性能优化的关键要点。HTTPS作为网络安全基石,其性能优化涉及多个方面:包括选择可信SSL证书、调整Nginx配置参数、优化SSL握手过程、启用压缩功能、完善证书链验证等。文章详细阐述了各项优化措施的具体实现方法,如启用ssl_session_cache模块、gzip压缩功能等,并强调监控调试的重要性。通过合理配置这些环节,可以显著提升HTTPS性能,确保数据传输安全高效。
NginxHTTPS部署与安全性能优化
qq_53058639的博客
03-02 1110
Nginx作为一款高性能的Web服务器和反向代理服务器,被广泛用于应用部署和负载均衡。在安全环保意识的逐渐提高下,HTTPS也成为现代Web应用中必不可少的一环。本篇文章将重点介绍NginxHTTPS部署和安全性能优化。
Nginx 精通 - HTTPS优化配置及典型问题
qq_33240556的博客
03-22 680
总之,NginxHTTPS优化不仅仅是配置SSL证书那么简单,还需要关注协议选择、加密套件配置、性能优化等方面,以确保既能保护用户数据安全又能提供良好的用户体验。使用HTTP/2、Brotli或Zstd压缩算法,优化SSL/TLS配置,考虑启用OpenSSL的硬件加速功能(如AES-NI或SSL加速卡支持)等。确认Nginx配置中使用的加密套件支持False Start。HTTP/2协议可以有效减少延迟,提高传输效率。如果客户端报告证书链不完整,需要确保Nginx配置中包含了根证书和中间证书。
Nginx https性能优化
zzhongcy的专栏
09-18 1万+
1、影响HTTPS速度的主要原因: 众周所知网站启用https后,会加剧服务器的负担。传统的http使用TCP三次握手建立连接,而SSL和TLS在这个基础上还需要9个握手包,所以这个负担显而易见。 1.1 密钥交换算法 常见的密钥交换算法有RSA,ECDHE,DH,DHE等算法。它们的特性如下: RSA:算法实现简单,诞生于 1977 年,历史悠久,经过了长时间的破解测试,...
Nezha Monitoring安全配置最佳实践:HTTPS访问控制策略
gitblog_00643的博客
10-22 745
你是否还在为服务器监控面板的安全问题担忧?作为一款轻量级的自托管服务器和网站监控运维工具,Nezha Monitoring(哪吒监控)提供了面的安全防护机制。本文将从HTTPS配置、JWT认证、WAF防护三个维度,带你构建坚不可摧的监控系统安全防线。读完本文后,你将能够:配置符合行业标准的HTTPS加密实现基于IP的访问控制、防范常见的Web攻击,并了解如何通过日志审计追踪安全事件。 ## ...
安全加固】:ESP32 TLS加密通信配置流程——彻底防止楼宇数据泄露的8个关键点
[【安全加固】:ESP32 TLS加密通信配置流程——彻底防止楼宇数据泄露的8个关键点](https://www.ssl2buy.com/wp-content/uploads/2021/08/TLS-handshake-process-1.3.jpg) # 1. ESP32安全通信的核心挑战与TLS加密...
OTA升级流程深度拆解:实现ESP32远程固件安全更新的5步可靠方案
[OTA升级流程深度拆解:实现ESP32远程固件安全更新的5步可靠方案](https://mischianti.org/wp-content/uploads/2022/07/ESP32-OTA-update-with-Arduino-IDE-filesystem-firmware-and-password-1024x552.jpg) ...
Nginx源码安装与HTTPS缓存配置实战
综上所述,“Nginx安装配置”不仅涉及基础的软件部署流程,更涵盖网络安全(SSL/TLS/PKI)、性能优化(缓存机制、反向代理)、高可用架构设计等多个维度的技术实践。通过深入理解上述知识点,并参考所列经典书籍中的...
双向通信安全加固:在ESP32上实现TLS加密连接,抵御IoT中间人攻击
双向通信安全威胁与TLS加密基础 在物联网(IoT)系统中,设备与服务器间的双向通信常面临窃听、篡改和中间人攻击等安全威胁。明文传输协议如HTTP或MQTT裸连已无法满足现代安全需求。TLS(Transport Layer Security...
nginx优化——包括https、keepalive等
Dream_Flying_BJ的博客
01-24 3万+
nginx优化——包括https、keepalive等 一、nginx之tcp_nopush、tcp_nodelay、sendfile 1、TCP_NODELAY 你怎么可以强制 socket 在它的缓冲区里发送数据? 一个解决方案是 TCP 堆栈的 TCP_NODELAY选项。这样就可以使缓冲区中的数据立即发送出去。 Nginx的 TCP_NODELAY 选项使得在打开
[记录]NGINX配置HTTPS性能优化方案一则
weixin_30640769的博客
03-01 303
NGINX配置HTTPS性能优化方案一则: 1)HSTS的合理使用 2)会话恢复的合理使用 3)Ocsp stapling的合理使用 4)TLS协议的合理配置 5)False Start的合理使用 6)SNI功能的合理使用, 7)HTTP 2.0的合理使用(Nginx在1.9.x版本就开始支持http2协议) 8)...
nginx的http2.0性能太逆天了,HTTPS网站性能优化
热门推荐
toontong的专栏
03-03 3万+
背景我们七层负载层,使用了5台24U+64G内存的物理机支行nginxhttps加解密与proxy_pass。每天上下班时段,5台机CPU基本在50%左右,算是计算型。 优化手段:keepalive、换TLS1.2加密算法优化(参考:1,2)等,收效不大。 特别简明一下keepalive选项,不论服务端如何支持,关键是客户端不跟你keep,你玩个屁。测试过程 硬件: 24U+64G物理机2台,
Cobalt Strike渗透之HTTPS/SMB/TCP Beacon横向移动实战3(跳板机Windows)
mooyuan的网络安全博客
12-04 1063
本文详细介绍了利用Cobalt Strike的TCPBeacon进行内网横向渗透的技术方案。通过创建HTTPS和TCP监听器,生成对应木马程序,先控制跳板机再横向渗透内网目标主机。重点阐述了TCP Beacon的两种应用模式(正向直连和横向渗透)及其实战步骤,包括监听器配置、木马生成、会话创建、文件传输和目标连接等关键环节。整个过程采用HTTPS会话控制跳板机,再通过TCP管道连接内网主机,最终实现隐蔽的横向移动和数据通信。
Fiddler抓包与接口调试实战,HTTPHTTPS配置、代理设置与移动端抓包详解
2501_91590906的博客
12-04 1064
Fiddler抓包工具教程:详解HTTP/HTTPS抓包、代理配置、断点调试与Mock数据技巧,结合实战案例帮助开发者高效定位接口问题。更多内容请访问 Fiddler 中文网。
Cobalt Strike横向渗透之Https Beacon实战1(跳板机Linux)
mooyuan的网络安全博客
12-05 1139
《基于Linux跳板机的HTTPS Beacon内网渗透实战》 本文详细介绍了在内网渗透中,当跳板机为Linux系统时,如何通过Cobalt Strike生成HTTPS Beacon文件并实现横向渗透的过程。主要内容包括:Linux平台Beacon生成工具genCrossC2的安装配置、Cobalt Strike服务端和客户端的部署、HTTPS监听器的设置。本篇通过完整的实战演示,展示了从Linux https Beacon生成、监听器配置到跳板机主机上线的完整流程。
CobaltStrike横向渗透之Https Beacon实战2(跳板机Linux)
最新发布
mooyuan的网络安全博客
12-05 1051
本文介绍了通过CobaltStrike实现Linux跳板机内网横向渗透的完整过程。攻击者首先创建两个HTTPS监听器(10088和22222端口),生成连接跳板机内网IP的HTTPSBeacon程序22222.exe。该程序通过跳板机上传至内网主机执行后,会主动连接跳板机的22222端口。跳板机通过配置iptables规则,将22222端口的HTTPS流量转发至攻击机的10088端口,最终建立攻击机→跳板机→内网主机的HTTPS C2通道。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

前端组件开发

你的钟意将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值