◆◆0

Nginx 配置 HTTPS 服务器的方法

' ZhaoHuan 2017年2月7日服务器运维 329 0

然后加入 Nginx 配置：

#优先采取服务器算法

ssl_prefer_server_ciphers on;

#使用DH文件

ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

#定义算法

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";

如果服务器夠強大，可以使用更为复杂的 4096 位进行加密。

一般情況下还应该加上以下几个增强安全性的命令：

#减少点击劫持

add_header X-Frame-Options DENY;

#禁止服务器自动解析资源类型

add_header X-Content-Type-Options nosniff;

#防XSS攻击

add_header X-Xss-Protection 1;

这几个安全命令在 Jerry Qu 大神的文章《一些安全相关的HTTP响应头》有详细的介紹。

优化后的综合配置

worker_processes auto;

http {

#配置共享会话缓存大小，视站点访问情况设定

ssl_session_cache shared:SSL:10m;

#配置会话超时时间

ssl_session_timeout 10m;

server {

listen 443 ssl;

server_name www.example.com;

#设置长连接

keepalive_timeout 70;

#HSTS策略

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

#证书文件

ssl_certificate www.example.com.crt;

#私钥文件

ssl_certificate_key www.example.com.key;

#优先采取服务器算法

ssl_prefer_server_ciphers on;

#使用DH文件

ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

#定义算法

#减少点击劫持

add_header X-Frame-Options DENY;

#禁止服务器自动解析资源类型

add_header X-Content-Type-Options nosniff;

#防XSS攻擊

add_header X-Xss-Protection 1;

#...

HTTP/HTTPS混合服务器配置

可以同时配置 HTTP 和 HTTPS 服务器：

server {

listen 80;

listen 443 ssl;

server_name www.example.com;

ssl_certificate www.example.com.crt;

ssl_certificate_key www.example.com.key;

#...

}

在 0.7.14 版本之前，在独立的 server 端口中是不能选择性开启 SSL 的。如上面的例子，SSL 只能通过使用 ssl 命令为单个 server 端口开启

server {

listen 443;

server_name www.example.com;

ssl_certificate www.example.com.crt;

ssl_certificate_key www.example.com.key;

#ssl命令开启 https

ssl on;

#...

}

分页阅读： 1 2 3 4 5

【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们：邮箱hack@ddos.kim，我们会在最短的时间内进行处理。