SSL ve Güvenli Şifreler Kullanarak Nginx Destekli Web Sitenizi Koruma

• Giriş
• giriş

Giriş

SSL ( Güvenli Yuva Katmanı anlamına gelir ) ve halefi TLS ( Taşıma Katmanı Güvenliği anlamına gelir ), İnternet üzerinden iletişimi sağlamak için kriptografik protokollerdir. Bir web sitesine güvenli bir bağlantı oluşturmak için kullanılabilir.

giriş

Sunucunuzda Nginx ve OpenSSL'nin kurulu olduğundan emin olun. Bu makalede, kendinden imzalı bir SSL sertifikası oluşturarak işlemi göstereceğiz.

1. Adım: Sertifika ve özel anahtar için bir dizin oluşturun

/ Etc / nginx içinde (bu dizinin Nginx'in yapılandırma dizini olduğu varsayılarak) bir dizin oluşturacağız (ve gireceğiz):

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

2. Adım: Özel anahtar ve CSR oluşturma

Sitenin özel anahtarını oluşturarak başlayalım. Bu örnekte, daha güçlü güvenlik için 4096 bit anahtar kullanacağız. 2048-bit'in de güvenli olduğunu, ancak 1024-BIT ÖZEL ANAHTAR KULLANMAYIN!

sudo openssl genrsa -out example.com.key 4096

Şimdi, sertifikayı imzalamak için bir sertifika imzalama isteği (CSR) oluşturun. 512 bit SHA-2 kullanacağız. -sha512Seçeneği not edin .

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

Doldurulması gereken alanların bir listesini ister. Common NameAlan adınıza ayarlandığından emin olun ! Ayrıca, bırakın A challenge passwordve An optional company nameboş.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Adım: Sertifikanızı imzalayın

Neredeyse bitti! Şimdi imzalamamız gerekiyor. 365'i (365 gün sonra sona erme) tercih ettiğiniz gün sayısına değiştirmeyi unutmayın.

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

Şimdi, kendinden imzalı bir sertifika hazırladık.

4. Adım: Kurulum

Nginx'in örnek SSL yapılandırma dosyasını açın:

sudo nano /etc/nginx/conf.d/example_ssl.conf

HTTPS Sunucusu altındaki bölümden gelen rahatsızlık . Değiştirerek aşağıdaki bilgilere config Maç example.comiçinde server_namealan adınızı veya IP adresi ile hat. Ayrıca kök dizininizi de ayarlayın.

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

Sonra Nginx'i yeniden başlatın.

service nginx restart

Şimdi, httpsadresinizi ( https://your.address.tld) içeren web sitenizi ziyaret edin . Web tarayıcınız, kendinden imzalı sertifikanızı kullanarak güvenli bir bağlantı gösterir.