Nginx 配置 SSL/TLS 全指南:从安装到安全强化
文章目录
在当今的网络环境中,HTTPS 已成为网站的标配。它不仅能保护用户数据安全,还能提升网站可信度,甚至对搜索引擎排名也有积极影响。本文将详细介绍如何在 Nginx 服务器上配置 SSL/TLS,从基础安装到安全强化,一步到位帮你实现网站的 HTTPS 加密。
一、准备工作:安装 Nginx
在配置 SSL/TLS 之前,我们需要先确保 Nginx 已经正确安装并运行。
1. 安装 EPEL 仓库
对于 CentOS 系统,首先需要安装 EPEL 仓库以获取 Nginx 安装包:
sudo yum install epel-release -y
2. 安装 Nginx
通过 yum 命令安装 Nginx:
sudo yum install nginx -y
3. 启动并设置开机启动
安装完成后,启动 Nginx 服务并设置为开机自动启动:
sudo systemctl start nginx
sudo systemctl enable nginx
4. 验证安装
访问服务器的 IP 地址(http://your_server_ip),如果能看到 Nginx 的默认欢迎页面,则说明安装成功。若未正常显示,可通过以下命令检查服务状态:
sudo systemctl status nginx
二、获取 SSL/TLS 证书
SSL/TLS 证书是实现 HTTPS 的核心。目前有两种主流选择:免费的 Let’s Encrypt 证书(推荐生产环境使用)和自签名证书(仅适合测试环境)。
1. 使用 Let’s Encrypt 免费证书(推荐)
Let’s Encrypt 提供的免费证书被所有主流浏览器信任,且支持自动续期,非常适合生产环境。我们将使用 Certbot 工具简化证书的获取和配置流程。
(1)安装 Certbot
sudo yum install epel-release -y
sudo yum install certbot python2-certbot-nginx -y
(2)获取证书
执行以下命令,将 yourdomain.com 替换为你的实际域名(支持多个域名):
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
Certbot 会自动完成证书获取、Nginx 配置修改和服务重载,无需手动操作。
(3)配置自动续期
Let’s Encrypt 证书有效期为 90 天,通过以下步骤设置自动续期:
sudo crontab -e
添加以下定时任务,每天自动检查并续期证书:
0 0 * * * /usr/bin/certbot renew --quiet
2. 创建自签名证书(测试环境)
如果只是用于本地测试,可生成自签名证书(浏览器会提示证书不受信任)。
(1)创建证书存储目录
mkdir -p /usr/local/nginx/ssl/private
mkdir -p /usr/local/nginx/ssl/certs
(2)生成密钥和证书签名请求(CSR)
openssl genpkey -algorithm RSA -out /usr/local/nginx/ssl/private/nginx-selfsigned.key -pkeyopt rsa_keygen_bits:2048
openssl req -new -key /usr/local/nginx/ssl/private/nginx-selfsigned.key -out /usr/local/nginx/ssl/certs/nginx-selfsigned.csr
执行过程中需要填写一些信息(如国家、域名等),其中Common Name需填写网站域名。
(3)生成自签名证书
openssl x509 -req -days 365 -in /usr/local/nginx/ssl/certs/nginx-selfsigned.csr -signkey /usr/local/nginx/ssl/private/nginx-selfsigned.key -out /usr/local/nginx/ssl/certs/nginx-selfsigned.crt
生成的证书有效期为 365 天,存储在指定目录中。
三、配置 Nginx 启用 SSL/TLS
获取证书后,需要修改 Nginx 配置以启用 HTTPS。
1. 编辑 Nginx 配置文件
vim /usr/local/nginx/conf/nginx.conf
2. 配置 HTTPS 服务
在配置文件中添加以下内容(根据证书类型替换路径):
server {
listen 443 ssl;
server_name yourdomain.com www.yourdomain.com;
# 证书路径(Let's Encrypt 证书路径通常为 /etc/letsencrypt/live/yourdomain.com/ 下)
ssl_certificate /usr/local/nginx/ssl/certs/nginx-selfsigned.crt;
ssl_certificate_key /usr/local/nginx/ssl/private/nginx-selfsigned.key;
# 仅启用安全的 TLS 协议
ssl_protocols TLSv1.2 TLSv1.3;
# 配置加密套件
ssl_ciphers TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;
ssl_prefer_server_ciphers on;
# 网站根目录和默认页面
location / {
root /usr/share/nginx/html;
index index.html;
}
}
3. 配置 HTTP 到 HTTPS 重定向
为了强制所有流量通过 HTTPS 访问,添加以下配置实现自动重定向:
server {
listen 80;
server_name yourdomain.com www.yourdomain.com;
return 301 https://$host$request_uri;
}
4. 启用 HTTP/2(可选)
HTTP/2 能提升网站加载速度,只需在监听端口后添加 http2 即可:
server {
listen 443 ssl http2;
# 其他配置不变...
}
四、强化 SSL/TLS 安全性
基础配置完成后,还需进一步强化 SSL/TLS 安全性,避免潜在漏洞。
1. 禁用弱加密协议
确保仅启用 TLS 1.2 和 TLS 1.3(已在基础配置中包含):
ssl_protocols TLSv1.2 TLSv1.3;
2. 启用 HTTP Strict Transport Security (HSTS)
HSTS 强制浏览器始终使用 HTTPS 访问,防止降级攻击:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
max-age=31536000 表示有效期为 1 年,includeSubDomains 表示对所有子域名生效。
3. 配置强 Diffie-Hellman 参数
生成并配置更强的 DH 参数,增强密钥交换安全性:
sudo openssl dhparam -out /usr/local/nginx/ssl/certs/dhparam.pem 2048
在 Nginx 配置中引用:
ssl_dhparam /usr/local/nginx/ssl/certs/dhparam.pem;
4. 优化加密套件
选择现代、安全的加密套件,禁用弱算法:
ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
五、验证配置
1. 检查配置有效性
修改配置后,先检查是否有语法错误:
sudo nginx -t
2. 重启 Nginx 服务
确认配置无误后,重启 Nginx 应用更改:
sudo systemctl restart nginx
3. 测试 HTTPS 连接
- 使用浏览器访问
https://yourdomain.com,地址栏显示绿色锁图标表示配置成功。 - 使用 curl 命令测试:
若返回curl -I https://yourdomain.comHTTP/1.1 200 OK或HTTP/2 200,说明 HTTPS 正常工作。
总结
通过本文的步骤,你已成功在 Nginx 上配置了 SSL/TLS,实现了网站的 HTTPS 加密。无论是使用免费的 Let’s Encrypt 证书,还是测试用的自签名证书,都能通过安全强化配置提升网站的安全性。记得定期检查证书状态,确保 HTTPS 持续有效。安全无小事,一个完善的 SSL/TLS 配置是保护用户数据和提升网站可信度的基础。