Hoe u uw door Nginx aangedreven website kunt beveiligen met SSL en beveiligde coderingen

• Invoering
• Intro

Invoering

SSL (staat voor Secure Sockets Layer ) en de opvolger ervan, TLS (staat voor Transport Layer Security ) zijn cryptografische protocollen om de communicatie via internet te beveiligen. Het kan worden gebruikt om een ​​veilige verbinding met een website te maken.

Intro

Zorg ervoor dat Nginx en OpenSSL op uw server zijn geïnstalleerd. In dit artikel demonstreren we het proces door een zelfondertekend SSL-certificaat te genereren.

Stap 1: Maak een directory voor het certificaat en de persoonlijke sleutel

We zullen een map maken (en deze invoeren) in / etc / nginx (ervan uitgaande dat die map de configuratiemap van Nginx is) door:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

Stap 2: Maak een privésleutel en CSR aan

Laten we beginnen met het maken van de privésleutel van de site. In dit voorbeeld gebruiken we de 4096-bits sleutel voor betere beveiliging. Merk op dat 2048-bit ook veilig is, maar GEBRUIK GEEN PRIVATE SLEUTEL MET 1024 BIT!

sudo openssl genrsa -out example.com.key 4096

Maak nu een certificaatondertekeningsverzoek (CSR) voor het ondertekenen van het certificaat. We gebruiken 512-bit SHA-2. Let op de -sha512optie.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Er verschijnt een lijst met velden die moeten worden ingevuld. Zorg ervoor dat deze Common Nameis ingesteld op uw domeinnaam! Ook vertrekken A challenge passworden An optional company nameblanco.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Stap 3: onderteken uw certificaat

Bijna klaar! Nu moeten we het gewoon ondertekenen. Vergeet niet 365 (vervalt na 365 dagen) te vervangen door het aantal dagen dat u verkiest.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Nu zijn we klaar met het maken van een zelfondertekend certificaat.

Stap 4: instellen

Open het voorbeeld SSL-configuratiebestand van Nginx:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Uncomment binnen de sectie onder de regel HTTPS-server . Stem uw configuratie af op de onderstaande informatie en vervang de example.comin de server_nameregel door uw domeinnaam of IP-adres. Stel ook uw root-directory in.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Start vervolgens Nginx opnieuw op.

service nginx restart

Bezoek nu uw website met een httpsadres ( https://your.address.tld). Uw webbrowser toont een veilige verbinding met uw zelfondertekend certificaat.