Nginx SSL/TLS 配置

原创 已于 2025-09-22 19:09:49 修改 · 293 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #ssl #网络

于 2025-09-21 16:52:02 首次发布

文章目录

1、准备工作-安装nginx

## 安装epel源
sudo yum install epel-release -y
## 安装nginx
sudo yum install nginx -y
## 设置开机自启、检查状态
sudo systemctl start nginx
sudo systemctl enable nginx
sudo systemctl status nginx

2、创建自签名证书(仅用于测试)

2.1 生成自签名证书

1、生成密钥文件和证书签名请求
sudo mkdir /etc/ssl/private
sudo mkdir /etc/ssl/certs

mkdir -p /usr/local/nginx/ssl/private
mkdir -p /usr/local/nginx/ssl/certs

openssl genpkey -algorithm RSA -out /usr/local/nginx/ssl/private/nginx-selfsigned.key -pkeyopt rsa_keygen_bits:2048

openssl req -new -key /usr/local/nginx/ssl/private/nginx-selfsigned.key -out /usr/local/nginx/ssl/certs/nginx-selfsigned.csr

------------------------------------------------------------------
其他字段说明(一般在用 openssl req -new -key ... 生成 CSR 时会问)
    Country Name (2 letter code): 国家代码(必须 2 位,例如 CN、US)
    State or Province Name:/州全名,例如 Beijing
    Locality Name: 城市,例如 Beijing
    Organization Name: 公司或组织名,例如 MyCompany Ltd
    Organizational Unit Name: 部门名,例如 IT Department(可留空)
    Common Name (e.g. server FQDN): 你的域名,例如 example.com
    Email Address: 邮箱地址,例如 admin@example.com
-------------------------------------------------------------------

2、生成自签名证书
openssl x509 -req -days 365 -in  /usr/local/nginx/ssl/certs/nginx-selfsigned.csr -signkey  /usr/local/nginx/ssl/private/nginx-selfsigned.key -out  /usr/local/nginx/ssl/certs/nginx-selfsigned.crt

3、验证证书生成是否成功
证书保存在	/usr/local/nginx/ssl/certs/nginx-selfsigned.crt
密钥保存在	/usr/local/nginx/ssl/private/nginx-selfsigned.key

3、配置Nginx启用 SSL/TLS

1、编辑配置文件
vim  /usr/local/nginx/conf/nginx.conf

server {
    listen 443 ssl;
    server_name benet.com www.benet.com;

    ssl_certificate /usr/local/nginx/ssl/certs/nginx-selfsigned.crt;
    ssl_certificate_key /usr/local/nginx/ssl/private/nginx-selfsigned.key;
    
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;
    ssl_prefer_server_ciphers on;

    location / {
        root /usr/share/nginx/html;
        index index.html;
    }
}
------------------------------------------------------------------
listen 443 ssl:监听 HTTPS 端口443
ssl_certificate 和 ssl_certificate_key:指定 SSL 证书和密钥的路径
ssl_protocols TLSv1.2 TLSv1.3:只启用 TLS 1.2 和 TLS 1.3,禁用 SSL 和 TLS 1.0/1.1
ssl_ciphers:定义加密套件,可以根据安全需求选择合适的加密方法
ssl_prefer_server_ciphers on:强制服务器优先选择加密套件
------------------------------------------------------------------

2、配置HTTP 到 HTTPS 重定向

server {
    listen 80;
    server_name benet.com www.benet.com;
    return 301 https://$host$request_uri;
}

4、扩展强化 SSL/TLS 安全性

4.1 禁用弱加密协议

## 推荐仅启用 TLS 1.2 和 TLS 1.3,禁用所有过时的协议,如 SSLv3 和 TLS 1.0/1.1
ssl_protocols TLSv1.2 TLSv1.3;

4.2 启用 HTTP Strict Transport Security (HSTS)

HSTS 强制浏览器只能通过 HTTPS 访问网站。以下配置将设置最长为一年(31536000 秒)的 HSTS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

4.3 启用更强的 Diffie-Hellman 参数

为了确保安全,使用一个更强的 Diffie-Hellman 参数。生成一个 2048 位的 DH 参数文件
sudo openssl dhparam -out /usr/local/nginx/ssl/certs/dhparam.pem 2048
在nginx配置文件中引用
ssl_dhparam /usr/local/nginx/ssl/certs/dhparam.pem;

4.4 配置加密套件

配置一个现代、安全的加密套件,并禁用已知的弱加密算法
ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';

5、验证配置

## 检查配置文件
sudo nginx -t
## 重启
sudo systemctl restart nginx
## 测试
curl -I https://benet.com
也可以浏览器访问,检查 SSL 是否正常工作,看到浏览器地址栏中的绿色锁图标,表示安全连接
nginx 配置ssl
congge
05-29 1万+
nginx 配置ssl
nginx ssl证书配置
学海无涯,我用JAVA
03-11 4246
linux服务器nginx配置ssl证书。至此 已经可以成功通过域名访问到服务器的页面了~~
Nginx 配置为 HTTPS(支持 SSL/TLS 加密)
最新发布
hahai_的博客
10-06 1055
本文详细介绍了如何为Nginx配置HTTPS/SSL加密。主要内容包括:1)获取SSL证书的两种方式(使用Let's Encrypt免费证书或购买商业证书);2)手动配置Nginx支持HTTPS的步骤,包括修改配置文件、设置SSL参数;3)证书自动更新方法;4)防火墙443端口配置;5)测试HTTPS连接。配置完成后,网站将实现HTTP到HTTPS的安全重定向。
Nginx配置SSL证书
krb___的博客
03-25 4941
SSL(Secure Sockets Layer)是一种用于保护在Internet上进行数据传输的加密协议。它是一种为网络通信提供安全性的协议,最初由网景公司(Netscape)开发。SSL的目标是通过对数据进行加密和身份验证,确保敏感信息在用户与网站之间的传输中得到保护。SSL通过在通信的两端之间建立安全的连接来实现其目标。这个安全连接使得通过互联网传输的数据在被发送和接收时都是加密的,从而防止第三方拦截和窃取敏感信息。
centos7Nginx通过反向代理设置https配置多端口访问
weixin_43404791的博客
09-17 1705
Https server配置 96 # HTTPS server 97 98 server { 99 listen 80; 100 listen 443 ssl; 101 server_name www.lidengxxxx.top; 102 103 ssl_certificate cert/server.crt; 104 ssl_certificate_key cert/server.key; 105 106 ss
Nginx -- SSL模块
啊啊啊啊建的博客
09-01 2045
Nginx -- SSL模块
Nginx 进阶】4、SSL/TLS 配置
weixin_52938153的博客
05-31 1501
Nginx(发音为“engine-x”)是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3代理服务器。由俄罗斯的程序员Igor Sysoev所开发,首个公开版本发布于2004年。Nginx是免费的开源软件,遵循类BSD许可协议的条款发布。 Nginx的设计优化重点在于高并发、高性能和低内存使用。在架构上,Nginx使用异步事件驱动的方法,这使得它在处理大量并发连接时表现出色,特别是在处理静态资源、反向代理或负载平衡时,效率极高。由于其稳定性和轻量级的资源占用,Nginx非常适合在现代的
NginxSSL/TLS 配置
二次源的博客
01-04 1501
Nginx是一个高性能的HTTP和反向代理web服务器,是运维中十分常用的中间件,本篇文章将介绍NginxSSL/TLS 配置
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
漏洞修复 Nginx SSL/TLS 弱密码套件
Jason
09-04 602
摘要:使用Nmap扫描工具对测试环境和生产环境的SSL/TLS加密套件进行检测。测试环境通过配置修改成功移除了不安全的加密套件,而生产环境因存在外部云防护层导致修复无效,需由服务商解决。结果表明测试环境修复完成,生产环境问题需网关服务商处理。
NginxSSL/TLS:实现HTTPS安全通信的最佳实践
java专栏
09-07 1555
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是两个加密协议,它们是数字世界中保护信息安全的盾牌。SSL是最初的版本,后来被TLS所取代。不过,人们通常还是习惯将它们统称为SSLSSL/TLS的作用是为数据传输提供一个安全层,确保数据在传输过程中不被窃听或篡改。它们通过使用加密算法来实现这一点,只有拥有正确密钥的人才能解读加密后的数据。
Nginx 配置 SSL
Andy's Blog
12-28 1212
Nginx 配置 SSL环境步骤安装 Nginx申请 CA 证书证书审核中(未完待续) 环境 阿里云服务器 ECS CentOS 7.4 步骤 安装 Nginx 参考: https://www.cnblogs.com/kaid/p/7640723.html 申请 CA 证书 阿里云管理控制台——产品与服务——安全(云盾)——购买证书——选择购买免费证书。 点击“申请”,绑定域...
nginx配置ssl
2301_76557773的博客
02-20 700
输入nginx安装目录 注意这里是大写的V,千万别写错了这种是没有证书情况这种是已经装了的就跳过进入到你的解压缩后的nginx目录,注意这里不是nginx安装目录,是解压缩后的目录,我是直接把nginx安装包和解压在一个目录你安装目录的路径make操作完成后原来的解压目录/usr/local/software/nginx-1.26.0/会多个objs文件夹里有nginx文件停掉nginx服务,使用新的nginx文件替换掉之前安装目录sbin下的nginx替换掉之前的nginx
nginx配置SSL
嘻嘻哈哈学技术
08-05 5108
一定要注意注意:打开云服务器安全组放行443端口服务器防火墙放行443端口修改配置文件之前先备份配置文件哦!
购买域名->内网穿透->绑定ssl,用于微信小程序测试等
kewen_123的博客
03-08 325
内网穿透注册购买,https端口设置443,http设置80,将箭头标识的域名添加到腾讯云DNS记录中。把刚刚解压的两个文件上传到nginx服务器,配置nginx.conf。点击进入解析管理,在此页面不动,等下一步操作。腾讯云域名购买,点击进入域名管理。SSL申请并下载nginx版本。启动ngrok,nginx
Nginx配置ssl
学习笔记
11-12 529
/Nginx/conf/ssl下 demo.crt demo.key #vi nginx.conf events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; log_format main...
NGINX 配置 SSL
口袋里的小龙的专栏
08-25 784
nginx 配置 ssl
如何排查NginxSSL/TLS配置对CSS加载的影响?
10-28
排查Nginx SSL/TLS配置对CSS加载影响时,可以按照以下步骤进行: 1. **验证证书和密钥**:确认SSL/TLS证书是否有效,路径正确且与配置中的匹配。确认`server`块中的`listen`指令指定的是正确的端口(如`443`)并指定了HTTPS协议 (`ssl on`)。 ```nginx server { listen 443 ssl; ssl_certificate /path/to/your/cert.pem; ssl_certificate_key /path/to/your/key.pem; } ``` 2. **查看SSL错误日志**:检查Nginx的日志文件(默认位置通常是`/var/log/nginx/error.log`),看看是否有SSL相关的问题,比如证书过期、握手失败等。 3. **启用SSL调试模式**:在配置中添加`debug`选项以便获取更详细的错误信息。 ```nginx error_log /path/to/your/ssl_debug.log debug; ``` 4. **测试连接**:使用工具如curl、Postman或直接在浏览器的开发者工具中检查HTTPS请求,看是否有错误提示,如“SSLHandshakeFailed”。 5. **SSL配置文件审查**:检查`ssl_prefer_server_ciphers`, `ssl_protocols` 等设置,确保它们不会阻止CSS或其他静态内容的传输。 6. **浏览器兼容性**:确认使用的浏览器支持你的SSL配置,某些旧版本浏览器可能不支持某些加密算法。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值