nginx HTTPS 配置详解 – wiki基地

作者: /

Nginx HTTPS 配置详解:构建安全可靠的网络服务

HTTPS (Hypertext Transfer Protocol Secure) 是一种安全的 HTTP 协议,它通过加密数据传输来保护用户隐私和数据完整性,防止中间人攻击和数据篡改。对于任何需要保护用户敏感信息的网站或应用程序来说,配置 HTTPS 都是至关重要的。Nginx 作为一款高性能的开源 Web 服务器和反向代理服务器,提供了灵活且强大的 HTTPS 配置选项。本文将深入探讨 Nginx HTTPS 配置的各个方面,帮助您构建安全可靠的网络服务。

一、HTTPS 工作原理回顾

在深入 Nginx 配置之前,我们先简单回顾一下 HTTPS 的工作原理。HTTPS 实际上是 HTTP 协议在 TLS/SSL (Transport Layer Security/Secure Sockets Layer) 协议之上的应用。它通过以下步骤实现安全连接:

  1. 客户端请求: 客户端(例如浏览器)向服务器发送 HTTPS 请求,请求建立安全连接。
  2. 服务器证书: 服务器将自己的 SSL/TLS 证书发送给客户端。证书包含了服务器的公钥、域名、证书颁发机构 (CA) 信息等。
  3. 证书验证: 客户端验证服务器证书的有效性。这包括检查证书是否由受信任的 CA 签名、证书是否过期、域名是否匹配等。
  4. 密钥交换: 如果证书验证通过,客户端生成一个对称密钥(Session Key),并使用服务器证书中的公钥对其进行加密。然后,客户端将加密后的对称密钥发送给服务器。
  5. 解密密钥: 服务器使用自己的私钥解密客户端发送过来的对称密钥。
  6. 加密通信: 客户端和服务器使用这个对称密钥对后续的所有数据进行加密和解密。

整个过程中,非对称加密(使用公钥和私钥)用于密钥交换,而对称加密(使用对称密钥)用于数据传输,以提高效率。

二、准备工作:获取 SSL/TLS 证书

配置 HTTPS 的首要步骤是获取有效的 SSL/TLS 证书。您可以选择以下几种方式:

  • 购买证书: 从商业证书颁发机构 (CA) 购买证书,例如 DigiCert、Comodo、GlobalSign 等。商业证书通常提供更高的可信度,并适用于企业级应用。
  • 免费证书: 使用免费的证书颁发机构,例如 Let’s Encrypt。Let’s Encrypt 提供免费、自动化和开放的证书,非常适合个人网站和中小型应用。
  • 自签名证书: 使用 OpenSSL 等工具生成自签名证书。自签名证书虽然免费,但浏览器通常会显示安全警告,因为它们不受信任的 CA 签名。不建议在生产环境中使用自签名证书。

以 Let’s Encrypt 为例,介绍获取证书的过程:

  1. 安装 Certbot: Certbot 是一个自动化工具,可以帮助您从 Let’s Encrypt 获取和安装证书。

    “`bash

    Debian/Ubuntu

    sudo apt update
    sudo apt install certbot python3-certbot-nginx

    CentOS/RHEL

    sudo yum install epel-release
    sudo yum install certbot python3-certbot-nginx
    “`

  2. 运行 Certbot: 使用 Certbot 获取并自动配置 Nginx 的 HTTPS。

    bash
    sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

    yourdomain.comwww.yourdomain.com 替换成您的域名。Certbot 会自动验证您的域名,并生成证书文件。

  3. 证书文件位置: Certbot 通常将证书文件保存在以下位置:

    • 证书文件:/etc/letsencrypt/live/yourdomain.com/fullchain.pem
    • 私钥文件:/etc/letsencrypt/live/yourdomain.com/privkey.pem

三、配置 Nginx HTTPS 虚拟主机

获取证书后,就可以开始配置 Nginx 虚拟主机了。以下是一个典型的 Nginx HTTPS 虚拟主机配置示例:

“`nginx
server {
listen 80;
server_name yourdomain.com www.yourdomain.com;
return 301 https://$host$request_uri; # 将所有 HTTP 请求重定向到 HTTPS
}

server {
listen 443 ssl;
server_name yourdomain.com www.yourdomain.com;

ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

# SSL 配置
ssl_protocols TLSv1.2 TLSv1.3; # 指定使用的 TLS 协议版本
ssl_prefer_server_ciphers on;  # 优先使用服务器的加密套件
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'; # 指定加密套件
ssl_session_cache shared:SSL:10m; # 启用会话缓存
ssl_session_timeout 10m;           # 会话超时时间
ssl_session_tickets off;       # 禁用 Session Tickets, 防止重放攻击

# HSTS 配置
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

# 其他配置
root /var/www/yourdomain.com;
index index.html index.htm;

location / {
    try_files $uri $uri/ =404;
}

}
“`

配置项详解:

  • listen 80; :监听 HTTP 端口 (80)。
  • server_name yourdomain.com www.yourdomain.com; :指定域名。
  • return 301 https://$host$request_uri; :将所有 HTTP 请求永久重定向到 HTTPS。301 表示永久重定向,$host 表示请求的主机名,$request_uri 表示请求的 URI。
  • listen 443 ssl; :监听 HTTPS 端口 (443),并启用 SSL/TLS。
  • ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; :指定证书文件路径。
  • ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; :指定私钥文件路径。
  • ssl_protocols TLSv1.2 TLSv1.3; :指定允许使用的 TLS 协议版本。建议只启用 TLSv1.2 和 TLSv1.3,禁用较旧的协议版本,例如 TLSv1.0 和 TLSv1.1,因为它们可能存在安全漏洞。
  • ssl_prefer_server_ciphers on; :优先使用服务器配置的加密套件。这有助于服务器选择更安全的加密算法。

  • ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'; :指定加密套件。加密套件定义了客户端和服务器之间加密通信时使用的算法。选择合适的加密套件至关重要,可以确保通信的安全性和性能。以下是一些常用的加密套件:

    • EECDH+AESGCM:使用椭圆曲线 Diffie-Hellman 密钥交换算法 (EECDH) 和 AES 加密算法,并采用 GCM (Galois/Counter Mode) 认证模式。
    • EDH+AESGCM:使用 Diffie-Hellman 密钥交换算法 (EDH) 和 AES 加密算法,并采用 GCM 认证模式。
    • AES256+EECDH:使用 AES-256 加密算法和 EECDH 密钥交换算法。
    • AES256+EDH:使用 AES-256 加密算法和 EDH 密钥交换算法。

    选择加密套件时,需要考虑安全性和性能之间的平衡。一般来说,EECDH 加密套件比 EDH 加密套件更安全,但计算成本也更高。
    * ssl_session_cache shared:SSL:10m; :启用 SSL 会话缓存。会话缓存可以存储 SSL 会话信息,以便客户端和服务器之间快速恢复连接,减少握手次数,提高性能。shared:SSL:10m 表示使用共享内存作为会话缓存,缓存名称为 SSL,大小为 10MB。
    * ssl_session_timeout 10m; :设置 SSL 会话超时时间。超过该时间后,会话将失效,客户端需要重新进行握手。10m 表示 10 分钟。
    * ssl_session_tickets off; :禁用 Session Tickets。 Session Tickets 是一种允许客户端在没有服务器端会话信息的情况下恢复 SSL 会话的机制。 但是,如果密钥泄露,它可能被用于重放攻击。建议禁用此功能,以提高安全性。
    * add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; :配置 HSTS (HTTP Strict Transport Security)。HSTS 是一种安全机制,可以强制浏览器始终使用 HTTPS 连接访问网站,防止中间人攻击和协议降级攻击。
    * max-age=31536000:指定 HSTS 策略的有效期,单位为秒。31536000 表示一年。
    * includeSubDomains:表示 HSTS 策略也适用于子域名。
    * preload:表示将域名添加到 HSTS 预加载列表。HSTS 预加载列表由浏览器维护,可以确保浏览器在首次访问网站时就使用 HTTPS 连接。
    * root /var/www/yourdomain.com; :指定网站根目录。
    * index index.html index.htm; :指定默认索引文件。
    * location / { try_files $uri $uri/ =404; } :配置请求处理规则。

四、安全优化

除了基本配置之外,还可以采取以下措施来进一步提高 HTTPS 的安全性:

  • 使用 OCSP Stapling: OCSP Stapling 允许服务器代表客户端向 CA 查询证书的吊销状态,并将 OCSP 响应附加到 SSL/TLS 握手中。这可以减少客户端的延迟,并提高安全性。
    nginx
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/letsencrypt/live/yourdomain.com/chain.pem;
    resolver 8.8.8.8 8.8.4.4 valid=300s; # DNS 解析器
    resolver_timeout 5s;

  • 配置 Diffie-Hellman 参数: 为 Diffie-Hellman 密钥交换算法生成安全的参数。

    bash
    openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

    然后在 Nginx 配置中添加以下配置:

    nginx
    ssl_dhparam /etc/ssl/certs/dhparam.pem;

  • 定期更新证书: SSL/TLS 证书有有效期,需要定期更新。Let’s Encrypt 证书的有效期为 90 天,可以使用 Certbot 自动更新。

    bash
    sudo certbot renew --dry-run # 测试更新
    sudo certbot renew # 更新证书

  • 使用安全扫描工具: 使用安全扫描工具,例如 SSL Labs 的 SSL Server Test,可以评估 HTTPS 配置的安全性,并提供改进建议。

五、总结

通过本文的详细介绍,您应该对 Nginx HTTPS 配置有了更深入的了解。配置 HTTPS 是构建安全可靠的网络服务的重要一步。请务必选择合适的证书颁发机构,配置安全的 Nginx 虚拟主机,并采取必要的安全优化措施,以保护用户隐私和数据安全。记住,HTTPS 配置是一个持续改进的过程,需要定期评估和更新,以应对不断变化的安全威胁。

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部