Cum să vă securizați site-ul Nginx-Powered folosind SSL și cifrate sigure

• Introducere
• introducere

Introducere

SSL (înseamnă Secure Sockets Layer ) și succesorul său, TLS (înseamnă Transport Layer Security ) sunt protocoale criptografice pentru securizarea comunicării pe internet. Poate fi folosit pentru a crea o conexiune sigură la un site web.

introducere

Asigurați-vă că Nginx și OpenSSL sunt instalate pe serverul dvs. În acest articol, vom demonstra procesul prin generarea unui certificat SSL autofirmat.

Pasul 1: Creați un director pentru certificat și cheie privată

Vom crea un director (și îl vom introduce) în / etc / nginx (presupunând că directorul este directorul de configurare al Nginx), prin:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

Pasul 2: Creează cheie privată și CSR

Să începem prin crearea cheii private a site-ului. În acest exemplu, vom folosi cheia de 4096 biți pentru o mai mare securitate. Rețineți că 2048-biți este, de asemenea, sigur, dar NU UTILIZAȚI TASĂ PRIVATĂ 1024 BIT!

sudo openssl genrsa -out example.com.key 4096

Acum, creați o cerere de semnare a certificatului (CSR) pentru semnarea certificatului. Vom folosi SHA-2 pe 512 biți. Notă -sha512opțiunea.

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Acesta va solicita o listă de câmpuri care trebuie completate. Asigurați-vă că Common Nameeste setat la numele dvs. de domeniu! De asemenea, lasă A challenge passwordși An optional company namegol.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Pasul 3: Semnați certificatul

Aproape gata! Acum trebuie doar să-l semnăm. Nu uitați să înlocuiți 365 (expirarea după 365 de zile) cu numărul de zile pe care le preferați.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Acum, am terminat să facem un certificat semnat.

Pasul 4: Configurați

Deschideți fișierul de configurare SSL de exemplu al Nginx:

sudo nano /etc/nginx/conf.d/example_ssl.conf

Nerecomandarea în secțiunea de sub linia HTTPS Server . Potriviți config la informațiile de mai jos, înlocuind example.comîn server_namelinie cu numele de domeniu sau adresa IP. De asemenea, setați-vă directorul rădăcină.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Apoi reporniți Nginx.

service nginx restart

Acum, vizitați site-ul dvs. web cu o httpsadresă ( https://your.address.tld). Browserul dvs. Web va afișa o conexiune sigură utilizând certificatul dvs. semnat.