本篇內(nèi)容主要講解“Nginx配置Https詳細(xì)教程”，感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“Nginx配置Https詳細(xì)教程”吧!

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),渝北企業(yè)網(wǎng)站建設(shè),渝北品牌網(wǎng)站建設(shè),網(wǎng)站定制,渝北網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷,網(wǎng)絡(luò)優(yōu)化,渝北網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

安裝 nginx

有可能你當(dāng)前已經(jīng)通過(guò) apt-get yum 等命令安裝了，但是可能不支持 https http2 ipv6 等功能。

查看當(dāng)前版本配置

我們可以通過(guò) nginx -V 命令來(lái)查看版本以及支持的配置。

下面這以 ubuntu 為例，卸載安裝 nginx

卸載

# 移除 nginx  $ apt-get --purge remove nginx  # 查詢 nginx 依賴的包，會(huì)列出來(lái)  $ dpkg --get-selections|grep nginx  # 移除上面列出的包，例如 nginx-common  $ apt-get --purge remove nginx-common # 也可以執(zhí)行 autoremove ，會(huì)自動(dòng)刪除不需要的包  $ apt-get autoremove  # 查詢 nginx 相關(guān)的文件，刪掉就可以了  $ sudo find / -name nginx*

安裝

安裝依賴庫(kù)  # gcc g++  apt-get install build-essential  apt-get install libtool  # pcre  sudo apt-get install libpcre3 libpcre3-dev  # zlib  apt-get install zlib1g-dev  # ssl  apt-get install openssl  apt-get install libssl-dev

安裝 nginx

到 nginx download 上找到最新的nginx 版本

# 下載  $ wget https://nginx.org/download/nginx-1.17.8.tar.gz  # 解壓  $ tar -zxvf nginx-1.17.8.tar.gz  # 進(jìn)入目錄  $ cd nginx-1.17.8  # 配置，這里可能會(huì)報(bào)錯(cuò)，缺少啥就去安裝啥  $ ./configure --prefix=/usr/local/nginx \  --with-http_gzip_static_module \  --with-http_v2_module \  --with-pcre \  --with-http_ssl_module

# 編譯，這里可能會(huì)報(bào)錯(cuò)，缺少啥就去安裝啥

$ make

# 安裝

$ make install

# 通過(guò)軟連接，這樣就可以直接使用 nginx 執(zhí)行

sudo ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx

SSL 證書(shū)

SSL 證書(shū)通常需要購(gòu)買，也有免費(fèi)的，通過(guò)第三方 SSL 證書(shū)機(jī)構(gòu)頒發(fā)。你也可以在云服務(wù)商上購(gòu)買，但是一般免費(fèi)的 ssl 證書(shū)只能支持單個(gè)域名。

這里推薦 Let’s Encrypt 機(jī)構(gòu)，然后使用 acme.sh 從 letsencrypt 生成免費(fèi)的證書(shū)，且可以生成泛域名證書(shū)。

參考 acme.sh 中文 wiki 、使用 acme.sh 部署 Let's Encrypt 通過(guò)阿里云 DNS 驗(yàn)證方式實(shí)現(xiàn)泛域名 HTTPS

上面的兩篇文章講的很詳細(xì)了，不再贅述。

PS：

•  建議使用 DNS 驗(yàn)證

•  --dns dns_ali  是根據(jù)不同服務(wù)商來(lái)的，dns_ali 就是指阿里云。其他服務(wù)商的參考 How to use DNS API 。

•  證書(shū)生成后，默認(rèn)在 ~/.acme.sh/ 目錄下，這里的文件是內(nèi)部使用的，需要使用 --installcert 命令指定到目標(biāo)位置

這里將證書(shū)放到了 nginx 的 conf 目錄下。.../conf/ssl/...

配置 http

http 基礎(chǔ)配置

http 的配置很簡(jiǎn)單，配置如下，我們先讓網(wǎng)站可以訪問(wèn)起來(lái)。

server {      listen  80;      server_name     wangsijie.top www.wangsijie.top;      location / {          root /var/www/main;          index index.html;      } }

使用 http://訪問(wèn)，就會(huì)如下顯示

配置 https

Https 基礎(chǔ)配置

server {      listen                  443 ssl;      server_name             wangsijie.top www.wangsijie.top;      # 證書(shū)文件，這里使用了 fullchain.cer 通過(guò) acme.sh 生成的泛域名證書(shū)      ssl_certificate         ssl/fullchain.cer;      # 私鑰文件      ssl_certificate_key     ssl/wangsijie.top.key;      location / {          root /var/www/main;          index index.html;    }  }

重啟后，以 https:// 開(kāi)頭訪問(wèn)你的網(wǎng)站，就會(huì)發(fā)現(xiàn)

修改 http 配置

但是用 http:// 訪問(wèn)，仍舊顯示連接不安全，我們需要修改配置，當(dāng)訪問(wèn) http 時(shí)會(huì)重定向到 https 如下

server {      listen  80;      server_name     wangsijie.top www.wangsijie.top;      return  301 https://$server_name$request_uri;  }

這時(shí)再用 http:// 訪問(wèn)，就會(huì)重定向到 https://

PS:

網(wǎng)上也有許多使用 rewrite 來(lái)重定向，但是 return 指令簡(jiǎn)單高效，建議盡量使用 return

完整配置

server {      listen  80;      server_name     wangsijie.top www.wangsijie.top;      return  301 https://$server_name$request_uri;  }  server {      listen                  443 ssl;      server_name             wangsijie.top www.wangsijie.top;      ssl_certificate         ssl/fullchain.cer;      ssl_certificate_key     ssl/wangsijie.top.key;      location / {          root /var/www/main;          index index.html;    }  }

混合配置

server {      listen          80;      listen                  443 ssl;      server_name             wangsijie.top www.wangsijie.top;      ssl_certificate         ssl/fullchain.cer;      ssl_certificate_key     ssl/wangsijie.top.key;      location / {          root /var/www/main;          index index.html;    }  }

https 安全

加密套件

https 默認(rèn)采用 SHA-1 算法，非常脆弱。我們可以使用迪菲-赫爾曼密鑰交換。

我們?cè)?/conf/ssl 目錄下生成 dhparam.pem 文件

openssl dhparam -out dhparam.pem 2048

下面的指令 ssl_protocols 和 ssl_ciphers 是用來(lái)限制連接只包含 SSL/TLS 的加強(qiáng)版本和算法。

# 優(yōu)先采取服務(wù)器算法  ssl_prefer_server_ciphers on;  # 使用 DH 文件  ssl_dhparam       ssl/dhparam.pem; # 協(xié)議版本  ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;  # 定義算法  ssl_ciphers      EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;  復(fù)制代碼  安全的響應(yīng)頭# 啟用 HSTS 。允許 https 網(wǎng)站要求瀏覽器總是通過(guò) https 來(lái)訪問(wèn)  add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;  # 減少點(diǎn)擊劫持  add_header X-Frame-Options DENY;  # 禁止服務(wù)器自動(dòng)解析資源類型  add_header X-Content-Type-Options nosniff;  # 防XSS攻擊  add_header X-Xss-Protection 1;  復(fù)制代碼  服務(wù)器優(yōu)化# 配置共享會(huì)話緩存大小  ssl_session_cache   shared:SSL:10m;  # 配置會(huì)話超時(shí)時(shí)間  ssl_session_timeout 10m;  復(fù)制代碼  http2 配置  http2 配置很簡(jiǎn)單，只要后面增加 http2。  下面 [::]: 表示 ipv6 的配置，不需要可以不加那一行l(wèi)isten  80;  listen  [::]:80;  listen  443 ssl http2;  listen  [::]:443 ssl http2;

重啟 nginx 后，你可以在這個(gè)網(wǎng)站上 tools.keycdn.com/http2-test 測(cè)試http2有沒(méi)有配置成功。

最后

完整配置

server {      listen                  80;      listen                  [::]:80;      listen                  443 ssl http2;      listen                  [::]:443 ssl http2;      server_name             wangsijie.top www.wangsijie.top;      ssl_certificate         ssl/fullchain.cer;      ssl_certificate_key     ssl/wangsijie.top.key;      ssl_session_cache       shared:SSL:10m;      ssl_session_timeout     10m;      ssl_prefer_server_ciphers on;      ssl_dhparam       ssl/dhparam.pem;      ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;      ssl_ciphers     EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;      add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;      add_header X-Frame-Options DENY;      add_header X-Content-Type-Options nosniff;      add_header X-Xss-Protection 1;      location / {          root /var/www/main;          index index.html;      }  }

配置文件優(yōu)化

為了讓更多的二級(jí)域名支持上面的功能，每個(gè) server 都這么寫太過(guò)于繁瑣。

可以將 listen 443 、ssl、add_header 相關(guān)的單獨(dú)寫在一個(gè)文件上，然后使用 inculde 指令。

如下：其他的配置都放在了conf.d/https-base.conf中

server {      listen                  8099;      listen                  [::]:8099;      server_name             test.wangsijie.top;      include                 conf.d/https-base.conf;      location / {          root /var/www/test;          index index.html;      }  }

到此，相信大家對(duì)“Nginx配置Https詳細(xì)教程”有了更深的了解，不妨來(lái)實(shí)際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！

文章名稱：Nginx配置Https詳細(xì)教程
當(dāng)前URL：http://www.chinadenli.net/article26/ishhjg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開(kāi)發(fā)、自適應(yīng)網(wǎng)站、品牌網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)公司、營(yíng)銷型網(wǎng)站建設(shè)、定制開(kāi)發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)