搭建https服务器一般需要向ca机构申请证书,内网测试的话可以自签证书,访问的时候忽略浏览器警告即可。
自签证书
- 创建独立站点使用有密码的网站证书私钥文件的自签证书:
openssl genrsa -aes256 -passout pass:111111 -out /usr/local/nginx/ssl/hexo_test_com.key 2048 openssl req -new -x509 -nodes -out /usr/local/nginx/ssl/hexo_dicfin_com.pem -passin pass:111111 -key /usr/local/nginx/ssl/hexo_test_com.key -days 3650 # 根据提示依次填写:CN、Anhui、Hefei、test、devops、test.com、test@test.com
- 保存私钥密码:
echo "111111" >> /usr/local/nginx/ssl/hexo_test_com.pass
- 创建自签客户端证书
openssl req -new -x509 -nodes -out /usr/local/nginx/ssl/client.pem -keyout /usr/local/nginx/ssl/client.key -days 3650 # 根据提示依次填写:CN、Anhui、Hefei、test、devops、test.com、test@test.com
- 转换客户端证书为可被浏览器导入的pkcs12格式
openssl pkcs12 -export -clcerts -in /usr/local/nginx/ssl/client.pem -inkey /usr/local/nginx/ssl/client.key -out /usr/local/nginx/ssl/client.p12 # 提示输密码,可填写“111111”
阿里云申请证书
自行查看阿里云控制台的操作手册。
配置https站点
server { listen 443 ssl; server_name hexo.test.com tcp_nodelay on; gzip_static always; gunzip on; gunzip_buffers 16 8k; gzip_proxied expired no-cache no-store private auth; gzip on; gzip_min_length 1k; gzip_comp_level 3; gzip_types text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png; gzip_vary on; charset utf-8; root /home/nodejs/public/; index index.html; ssl_certificate ../ssl/hexo_test_com.pem; ssl_certificate_key ../ssl/hexo_test_com.key; ssl_password_file ../ssl/hexo_test_com.pass; }
- 测试:
nginx -t
- 重加载:
nginx -s reload
- 打开浏览器访问
https://hexo.test.com
配置密钥交换算法
使用自签证书存在一个问题,如果私钥文件泄露可能会导致中间人攻击,所以需要配置密钥交换算法,保证通信双方可以安全地交换密钥,即便密钥泄露,第三方也无法推算出会话密钥。
- 生成DH参数文件:
openssl dhparam -out /usr/local/nginx/ssl/dhparam.pem 2048
- 编辑配置文件:
ssl_certificate ../ssl/hexo_test_com.pem; ssl_certificate_key ../ssl/hexo_test_com.key; ssl_password_file ../ssl/hexo_test_com.pass; ssl_dhparam ../ssl/dhparam.pem; ssl_ecdh_curve auto;
https会话缓存
建立https连接会占用一定资源,为加快HTTPS建立连接的速度,TLS协议使用了会话缓存机制。
会话缓存机制可以使已经断开连接的HTTPS会话重用之前的协商会话继续HTTPS数据传输。
会话缓存机制有两种实现方式:会话编号和会话凭证。下面以会话凭证的方式作为示例。
- 生成会话凭证密钥文件:
openssl rand 80 > /usr/local/nginx/ssl/session_ticket.key
- 编辑配置文件:
# 会话缓存存储大小为10MB ssl_session_cache shared:SSL:10m; # 以会话凭证机制实现会话缓存 ssl_session_tickets off; # 会话缓存超时时间为10分钟 ssl_session_timeout 10m; # 会话缓存密钥文件 ssl_session_ticket_key ../ssl/session_ticket.key;
配置示例
server { listen 80; server_name hexo.test.com; # 强制使用https rewrite ^(.*)$ https://$host$1? permanent; } server { listen 443 ssl; server_name hexo.test.com # nodelay置为on时,数据包立即发送,适用于延时敏感的场景。置为off时,数据在缓冲中达到一定的量才会发送。 tcp_nodelay on; gzip_static always; gunzip on; gunzip_buffers 16 8k; gzip_proxied expired no-cache no-store private auth; gzip on; gzip_min_length 1k; gzip_comp_level 3; gzip_types text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png; gzip_vary on; charset utf-8; root /home/nodejs/public/; index index.html; ssl_certificate ../ssl/hexo_test_com.pem; ssl_certificate_key ../ssl/hexo_test_com.key; ssl_password_file ../ssl/hexo_test_com.pass; ssl_dhparam ../ssl/dhparam.pem; ssl_ecdh_curve auto; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_session_timeout 10m; ssl_session_ticket_key ../ssl/session_ticket.key; # 启用HSTS add_header Strict-Transport-Security "max-age=6307200; includeSubDomains; preload"; # 禁止被嵌入框架 add_header X-Frame-Options DENY; # XSS跨站防护 add_header X-XSS-Protection "1; mode=block"; # 防止在浏览器中的MIME类型混淆攻击 add_header X-Content-Type-Options nosniff; }