Cara Mengamankan Situs Web Yang Didukung Nginx Anda Menggunakan SSL dan Secure Ciphers

• pengantar
• Intro

pengantar

SSL (singkatan dari Secure Sockets Layer ) dan penggantinya, TLS (singkatan dari Transport Layer Security ) adalah protokol kriptografi untuk mengamankan komunikasi melalui Internet. Ini dapat digunakan untuk membuat koneksi yang aman ke situs web.

Intro

Pastikan Nginx dan OpenSSL diinstal pada server Anda. Dalam artikel ini, kami akan menunjukkan proses dengan menghasilkan sertifikat SSL yang ditandatangani sendiri.

Langkah 1: Buat direktori untuk sertifikat dan kunci pribadi

Kami akan membuat direktori (dan memasukkannya) di dalam /etc/nginx (dengan asumsi direktori tersebut adalah direktori konfigurasi Nginx), dengan:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

Langkah 2: Buat kunci pribadi dan CSR

Mari kita mulai dengan membuat kunci pribadi situs. Dalam contoh ini, kami akan menggunakan kunci 4096-bit untuk keamanan yang lebih kuat. Perhatikan bahwa 2048-bit juga aman, tetapi JANGAN GUNAKAN KUNCI PRIVATE 1024-BIT!

sudo openssl genrsa -out example.com.key 4096

Sekarang, buat permintaan penandatanganan sertifikat (CSR) untuk menandatangani sertifikat. Kami akan menggunakan SHA-2 512-bit. Perhatikan -sha512opsi.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Ini akan meminta daftar bidang yang perlu diisi. Pastikan Common Namediatur ke nama domain Anda! Juga, biarkan A challenge passworddan kosongkan An optional company name.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Langkah 3: Tanda tangani sertifikat Anda

Hampir selesai! Sekarang kita harus menandatanganinya. Jangan lupa ganti 365 (kedaluwarsa setelah 365 hari) ke jumlah hari yang Anda inginkan.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Sekarang, kami sudah selesai membuat sertifikat yang ditandatangani sendiri.

Langkah 4: Atur

Buka file konfigurasi SSL contoh Nginx:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Batalkan komentar dalam bagian di bawah Server HTTPS baris . Mencocokkan konfigurasi Anda untuk informasi di bawah, menggantikan example.comdi server_namesejalan dengan nama domain atau alamat IP. Juga atur direktori root Anda.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Kemudian restart Nginx.

service nginx restart

Sekarang, kunjungi situs web Anda dengan httpsalamat ( https://your.address.tld). Browser web Anda akan menunjukkan koneksi yang aman menggunakan sertifikat yang Anda tandatangani sendiri.