Como proteger seu site com Nginx usando SSL e cifras seguras

• Introdução
• Introdução

Introdução

O SSL (sigla para Secure Sockets Layer ) e seu sucessor, TLS (significa Transport Layer Security ) são protocolos criptográficos para proteger a comunicação pela Internet. Pode ser usado para criar uma conexão segura com um site.

Introdução

Verifique se o Nginx e o OpenSSL estão instalados no seu servidor. Neste artigo, demonstraremos o processo gerando um certificado SSL autoassinado.

Etapa 1: Crie um diretório para o certificado e a chave privada

Vamos criar um diretório (e inseri-lo) dentro de / etc / nginx (assumindo que o diretório seja o diretório de configuração do Nginx), por:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

Etapa 2: criar chave privada e CSR

Vamos começar criando a chave privada do site. Neste exemplo, usaremos a chave de 4096 bits para aumentar a segurança. Observe que 2048 bits também é seguro, mas NÃO USE UMA CHAVE PRIVADA DE 1024 BIT!

sudo openssl genrsa -out example.com.key 4096

Agora, crie uma solicitação de assinatura de certificado (CSR) para assinar o certificado. Usaremos o SHA-2 de 512 bits. Observe a -sha512opção.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Ele solicitará uma lista de campos que precisam ser preenchidos. Verifique se o Common Nameseu nome de domínio está definido! Além disso, deixe A challenge passworde An optional company nameem branco.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Etapa 3: assinar seu certificado

Quase pronto! Agora só precisamos assinar. Não se esqueça de substituir 365 (expiração após 365 dias) pelo número de dias que você preferir.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Agora, terminamos de fazer um certificado autoassinado.

Etapa 4: configurar

Abra o arquivo de configuração SSL de exemplo do Nginx:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Remova o comentário na seção abaixo da linha HTTPS Server . Combine sua configuração com as informações abaixo, substituindo o example.comna server_namelinha pelo seu nome de domínio ou endereço IP. Defina também o diretório raiz.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Em seguida, reinicie o Nginx.

service nginx restart

Agora, visite seu site com um httpsendereço ( https://your.address.tld). O seu navegador exibirá uma conexão segura usando seu certificado autoassinado.