【Nginx】Nginx 使用 SSL 的详细指南

丶21362024-09-23 14:29

目录

  • [1. 引言](#1. 引言)
  • [2. 准备工作](#2. 准备工作)
    • [2.1 安装 Nginx](#2.1 安装 Nginx)
      • [在 Ubuntu 上安装 Nginx](#在 Ubuntu 上安装 Nginx)
      • [在 CentOS 上安装 Nginx](#在 CentOS 上安装 Nginx)
    • [2.2 获取 SSL 证书](#2.2 获取 SSL 证书)
      • [使用 Let's Encrypt 获取证书](#使用 Let’s Encrypt 获取证书)
  • [3. 配置 Nginx 启用 SSL](#3. 配置 Nginx 启用 SSL)
    • [3.1 编辑 Nginx 配置文件](#3.1 编辑 Nginx 配置文件)
    • [3.2 添加 SSL 配置](#3.2 添加 SSL 配置)
  • [4. 强化 SSL 配置](#4. 强化 SSL 配置)
    • [4.1 选择安全的加密套件](#4.1 选择安全的加密套件)
    • [4.2 启用 HSTS](#4.2 启用 HSTS)
  • [5. 测试 SSL 配置](#5. 测试 SSL 配置)
  • [6. 续订和更新 SSL 证书](#6. 续订和更新 SSL 证书)
  • 结论
  • 参考资料

1. 引言

在当今的网络环境中,数据安全至关重要。SSL(安全套接字层)和 TLS(传输层安全协议)为数据传输提供了加密保护。Nginx 是一款高性能的 Web 服务器,广泛应用于处理 HTTPS 请求。本文将详细介绍如何在 Nginx 中配置 SSL。

2. 准备工作

2.1 安装 Nginx

首先,确保 Nginx 已安装在你的服务器上。可以通过以下命令进行安装:

在 Ubuntu 上安装 Nginx

bash 复制代码 
sudo apt update
sudo apt install nginx

在 CentOS 上安装 Nginx

bash 复制代码 
sudo yum install epel-release
sudo yum install nginx

安装完成后,通过以下命令验证 Nginx 是否正常运行:

bash 复制代码 
sudo systemctl start nginx
sudo systemctl enable nginx

2.2 获取 SSL 证书

你可以选择购买商业 SSL 证书,或者使用 Let's Encrypt 提供的免费 SSL 证书。

使用 Let's Encrypt 获取证书

  1. 安装 Certbot(用于自动化证书获取和续订):

    bash 复制代码 
    sudo apt install certbot python3-certbot-nginx

  2. 获取证书

    bash 复制代码 
    sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

根据提示完成配置,Certbot 会自动为你配置 Nginx。

3. 配置 Nginx 启用 SSL

3.1 编辑 Nginx 配置文件

找到并打开你的 Nginx 配置文件,通常位于 /etc/nginx/sites-available/default/etc/nginx/nginx.conf

3.2 添加 SSL 配置

在 server 块中添加以下内容:

nginx 复制代码 
server {
    listen 443 ssl;
    server_name yourdomain.com www.yourdomain.com;

    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    location / {
        proxy_pass http://localhost:3000;  # 根据需要调整
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

4. 强化 SSL 配置

4.1 选择安全的加密套件

为了提高安全性,你可以选择推荐的加密套件:

nginx 复制代码 
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;

4.2 启用 HSTS

HTTP Strict Transport Security(HSTS)可以防止中间人攻击:

nginx 复制代码 
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

5. 测试 SSL 配置

在重启 Nginx 之前,先测试配置是否有效:

bash 复制代码 
sudo nginx -t

如果一切正常,重启 Nginx 使更改生效:

bash 复制代码 
sudo systemctl restart nginx

你可以使用 SSL Labs 在线工具来检查 SSL 配置的安全性。

6. 续订和更新 SSL 证书

Let's Encrypt 的证书有效期为 90 天,建议设置自动续订。Certbot 默认会自动设置 cron 任务进行续订,但你可以手动测试续订:

bash 复制代码 
sudo certbot renew --dry-run

结论

通过以上步骤,你可以在 Nginx 中成功配置 SSL,提高网站的安全性。定期检查和更新你的 SSL 配置,以确保最佳的安全性。

参考资料

希望这个详细的博客内容能够帮助你成功配置 Nginx SSL!如果需要进一步的细节或有其他问题,随时问我!

相关推荐
勤奋的凯尔森同学1 小时前
webmin配置终端显示样式,模仿UbuntuDesktop终端
linux·运维·服务器·ubuntu·webmin
技术小齐5 小时前
网络运维学习笔记 016网工初级(HCIA-Datacom与CCNA-EI)PPP点对点协议和PPPoE以太网上的点对点协议(此处只讲华为)
运维·网络·学习
ITPUB-微风5 小时前
Service Mesh在爱奇艺的落地实践:架构、运维与扩展
运维·架构·service_mesh
落幕6 小时前
C语言-进程
linux·运维·服务器
chenbin5206 小时前
Jenkins 自动构建Job
运维·jenkins
java 凯6 小时前
Jenkins插件管理切换国内源地址
运维·jenkins
AI服务老曹6 小时前
运用先进的智能算法和优化模型,进行科学合理调度的智慧园区开源了
运维·人工智能·安全·开源·音视频
sszdzq7 小时前
Docker
运维·docker·容器
book01218 小时前
MySql数据库运维学习笔记
运维·数据库·mysql
bugtraq20218 小时前
XiaoMi Mi5(gemini) 刷入Ubuntu Touch 16.04——安卓手机刷入Linux
linux·运维·ubuntu
热门推荐
01DeepSeek各版本说明与优缺点分析02如何在WPS和Word/Excel中直接使用DeepSeek功能03DeepSeek本地部署详细指南04太炸裂了!清华大学deepseek从入门到精通使用手册又出第三版了,《普通人如何抓住DeepSeek红利》(无套路,直接下载)05本地部署DeepSeek教程(Mac版本)06DeepSeek r1本地安装全指南07DeepSeek RAGFlow构建本地知识库系统08本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程09DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具10【docker】Windows10安装Docker Desktop - WSL update failed