วิธีการรักษาความปลอดภัยเว็บไซต์ที่ขับเคลื่อนด้วย Nginx ของคุณโดยใช้ SSL และ Secure Ciphers

• บทนำ
• Intro

บทนำ

SSL (ย่อมาจากSecure Sockets Layer ) และผู้สืบทอด TLS (ย่อมาจากTransport Layer Security ) เป็นโปรโตคอลการเข้ารหัสเพื่อความปลอดภัยในการสื่อสารผ่านอินเทอร์เน็ต สามารถใช้เพื่อสร้างการเชื่อมต่อที่ปลอดภัยไปยังเว็บไซต์

Intro

ตรวจสอบให้แน่ใจว่าติดตั้ง Nginx และ OpenSSL บนเซิร์ฟเวอร์ของคุณ ในบทความนี้เราจะสาธิตกระบวนการด้วยการสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเอง

ขั้นตอนที่ 1: สร้างไดเรกทอรีสำหรับใบรับรองและคีย์ส่วนตัว

เราจะสร้างไดเรกทอรี (และป้อน) ภายใน / etc / nginx (สมมติว่าไดเรกทอรีนั้นเป็นไดเรกทอรี config ของ Nginx) โดย:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

ขั้นตอนที่ 2: สร้างรหัสส่วนตัวและ CSR

เริ่มจากการสร้างคีย์ส่วนตัวของเว็บไซต์ ในตัวอย่างนี้เราจะใช้คีย์ 4096 บิตเพื่อความปลอดภัยที่สูงขึ้น โปรดทราบว่า 2048 บิตนั้นปลอดภัยเช่นกัน แต่อย่าใช้คีย์ส่วนตัว 1024-BIT!

sudo openssl genrsa -out example.com.key 4096

ตอนนี้สร้างคำขอลงนามใบรับรอง (CSR) เพื่อลงนามรับรอง เราจะใช้ SHA-2 แบบ 512 บิต หมายเหตุ-sha512ตัวเลือก

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

มันจะแสดงรายการของเขตข้อมูลที่จำเป็นต้องกรอกตรวจสอบให้แน่ใจว่าCommon Nameได้ตั้งค่าเป็นชื่อโดเมนของคุณ! นอกจากนี้การลาA challenge passwordและAn optional company nameว่างเปล่า

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

ขั้นตอนที่ 3: ลงชื่อใบรับรองของคุณ

เกือบเสร็จแล้ว! ตอนนี้เราแค่ต้องลงชื่อมัน อย่าลืมแทนที่ 365 (หมดอายุหลังจาก 365 วัน) เป็นจำนวนวันที่คุณต้องการ

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

ตอนนี้เรากำลังสร้างใบรับรองที่ลงชื่อด้วยตัวเองเสร็จแล้ว

ขั้นตอนที่ 4: ตั้งค่า

เปิดไฟล์กำหนดค่า SSL ตัวอย่างของ Nginx:

sudo nano /etc/nginx/conf.d/example_ssl.conf

uncomment ในส่วนที่อยู่ภายใต้เส้นHTTPS เซิร์ฟเวอร์ จับคู่การกำหนดค่าของคุณกับข้อมูลด้านล่างแทนที่example.comในserver_nameบรรทัดด้วยชื่อโดเมนหรือที่อยู่ IP ของคุณ ตั้งค่าไดเรกทอรีรากของคุณด้วย

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

จากนั้นรีสตาร์ต Nginx

service nginx restart

ตอนนี้เยี่ยมชมเว็บไซต์ของคุณด้วยที่httpsอยู่ ( https://your.address.tld) เว็บเบราว์เซอร์ของคุณจะแสดงการเชื่อมต่อที่ปลอดภัยโดยใช้ใบรับรองที่ลงชื่อด้วยตนเอง