Nginx 配置 SSL/TLS 详解与实战
在现代Web开发中,使用SSL/TLS加密协议来保护用户数据已成为一项基本要求。Nginx,作为一款高性能的HTTP和反向代理服务器,支持SSL/TLS加密,使得配置HTTPS服务变得简单而高效。本文将详细介绍如何通过Nginx配置文件来实现HTTPS服务,包括SSL证书的配置、HTTP到HTTPS的重定向以及针对API和静态资源的路由处理。
1. Nginx SSL/TLS 配置基础
要配置Nginx以支持SSL/TLS,你首先需要准备SSL证书和密钥文件。这些文件通常由证书颁发机构(CA)签发,但也可以使用自签名证书进行测试。在Nginx配置文件中,SSL证书和密钥通过ssl_certificate
和ssl_certificate_key
指令指定。
2. HTTP到HTTPS的重定向
为了确保所有访问都通过HTTPS进行,你需要在Nginx中配置一个监听HTTP端口(如80或8072)的server
块,用于将所有HTTP请求重定向到HTTPS。以下是一个简单的重定向配置示例:
nginx
server {
# 监听端口 8072
listen 8072;
# 服务器名称匹配任何主机名
server_name _;
# 重定向所有 HTTP 请求到 HTTPS 协议
return 301 https://$host$request_uri;
}
这段配置监听8072端口,对所有请求执行301永久重定向到HTTPS版本。
3. HTTPS server
块配置
接下来,我们配置一个用于处理HTTPS请求的server
块。在这个块中,我们将指定SSL证书、密钥、SSL会话参数、支持的SSL/TLS版本和加密套件等。
nginx
server {
# 监听端口 443 并启用 SSL/TLS
listen 443 ssl;
# 服务器名称匹配任何主机名
server_name _;
# 设置服务器根目录
root /usr/share/nginx/html;
# SSL 证书文件路径
ssl_certificate /etc/nginx/ssl/server1.crt;
# SSL 证书密钥文件路径
ssl_certificate_key /etc/nginx/ssl/server1.key;
# 设置 SSL 会话超时时间
ssl_session_timeout 5m;
# 允许的 SSL/TLS 版本
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 允许的加密套件
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
# 优先使用服务器提供的加密套件
ssl_prefer_server_ciphers on;
# 其他配置...
}
在这个配置中,我们监听443端口并启用了SSL。通过ssl_certificate
和ssl_certificate_key
指定了证书和密钥文件的路径。我们还设置了SSL会话超时时间、支持的协议版本和加密套件。
4. API 代理与静态资源服务
在HTTPS server
块中,你可以根据需要定义多个location
块来处理不同类型的请求。例如,你可能想要将所有/api
路径的请求代理到后端服务,而将其他请求作为静态资源服务。
nginx
# 定义 API 路径的代理规则
location /api {
# 将请求代理到本地的 8196 端口
proxy_pass http://127.0.0.1:8196/;
# 使用 HTTP/1.1 版本
proxy_http_version 1.1;
# 设置代理请求头 Host 字段
proxy_set_header Host $host;
# 设置代理请求头 X-Real-IP 字段
proxy_set_header X-Real-IP $remote_addr;
# 设置代理请求头 X-Forwarded-For 字段
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 其他代理配置...
}
# 定义其他静态资源的路由规则
location / {
# 设置静态资源根目录
root /var/www/bigdata/frontend/zb-admin-new;
# 尝试找到请求的文件或目录,如果没有则返回 index.html
try_files $uri $uri/ /index.html;
# 设置默认索引文件
index index.html index.htm;
}
在/api
的location
块中,我们配置了反向代理,将所有请求转发到本地8196端口。在/
的location
块中,我们设置了静态资源的根目录,并配置了try_files
指令来尝试按请求的路径提供服务,如果找不到文件则回退到index.html
。
5. 错误页面处理
最后,Nginx允许你自定义错误页面,以提升用户体验。你可以通过error_page
指令和相应的location
块来实现这一点。
nginx
# 自定义 404 错误页面
error_page 404 /404.html;
# 处理 404 错误页面的具体规则
location = /404.html {
# 错误页面配置...
}
# 自定义 500, 502, 503, 504 错误页面
error_page 500 502 503 504 /50x.html;
# 处理 500, 502, 503, 504 错误页面的具体规则
location = /50x.html {
# 错误页面配置...
}