2. 程式人生 > >Nginx 下部署 HTTPS 與安全調優

Nginx 下部署 HTTPS 與安全調優

阿新 發佈:2017-08-04
quest tro efault attribute you attr inf [] validate

什麽是 HTTPS?#

HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。

更多基本介紹請查閱:

  • 數字簽名是什麽?(圖文並茂, 清晰易懂, 重點推薦)
  • HTTPS on WIKI
  • 密碼學筆記
  • SSL 與數字證書
  • 另一個圖文並茂的筆記, 供參考 --> 泛域名ssl證書搭建全攻略

需要弄清楚的幾個問題:

  • HTTPS 和 SSL 的關系與基本技術實現;
  • SSL 證書的類型;
  • 什麽是證書頒發機構, 為什麽會存在;
  • 證書認證等級, DV, OV 和 EV 各自的意思;
  • 什麽是 泛域名 SSL 證書 (Wildcard Domain SSL Certificates)

操作步驟#

一個大概流程如下:

  1. 購買前準備 - 服務器生成 csr 和 key 文件;
  2. 購買證書 - 利用上面生成的 csr 文件去購買證書;
  3. 購買成功後的證書有兩個, 一個是域名證書, 一個是鏈證書, 把他們倆按照順序合並為 crt 文件;
  4. Nginx 下配置 key 和 crt 文件, 並做安全調優.

購買證書前的準備#

1. 生成證書 CSR 和 KEY#

mkdir -p /etc/nginx/ssl/phphub
cd /etc/nginx/ssl/phphub

2. 生成 orig 文件#

openssl genrsa -out phphub.orig 2048

3. 生成 csr 文件#

運行

openssl req -new -key phphub.orig -out phphub.csr

輸出, 需要填寫內容:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BeiJing
Locality Name (eg, city) []:BeiJing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:The EST Group
Organizational Unit Name (eg, section) []:Dev
Common Name (e.g. server FQDN or YOUR name) []:*.phphub.org // ----------註意這個地方要認真填寫
Email Address []: emailaddress @ gmail.com

Please enter the following ‘extra‘ attributes
to be sent with your certificate request
A challenge password []:  ----------註意不填寫----------
An optional company name []:  ----------註意不填寫----------

4. 生成 private key 文件#

openssl rsa -in phphub.orig -out phphub.key

至此文件夾裏面有 三個文件:

[email protected]:/etc/nginx/ssl/phphub# tree
.
├── ikbcity.csr
├── phphub.key
└── phphub.orig

購買證書#

購買細節這裏省去, 需要註意的是要認準比較權威的認證機構購買...

購買成功後會給你發兩個證書 server.crt 和 server.intermediate.crt, 生成最終的 server.chained.crt

cat server.crt server.intermediate.crt > phphub.crt

此文件就可以和上面生成的 key 文件一起用來配置 nginx 了:

ssl_certificate     /etc/nginx/ssl/phphub/phphub.crt;
ssl_certificate_key /etc/nginx/ssl/phphub/phphub.key;

配置安全的 Ngxin#

鏈接:

  • Best nginx configuration for security
  • Nginx config on Gits
  • Top 20 Nginx WebServer Best Security Practices
  • SSL Server Test -- 安全測試工具

強制使用 HTTPS#

server {
    listen 80;
    listen 443 ssl;
    server_name example.com;

    if ($scheme = http) {
        return 301 https://$server_name$request_uri;
    }

    ....
}

去除 Nginx 的 X-Powered-By header#

fastcgi_hide_header X-Powered-By;

去除 nginx 版本#

server_tokens off;

不允許被 iframe 加載#

add_header X-Frame-Options SAMEORIGIN;

其他參照此 Gits: Nginx config on Gits

靜態內容#

一般都會出現 cdn 服務器無法訪問 https 源服務器的問題, 可以使用專門的域名 static.phphub.org 來解決, 此域名專門用來輸送靜態內容:

server {
    listen 80;
    server_name static.phphub.org;
    root /var/www/phphub/public;
    location ~* \.(jpg|jpeg|gif|png|bmp|ico|pdf|flv|swf|exe|html|htm|txt|css|js) {
            add_header        Cache-Control public;
            add_header        Cache-Control must-revalidate;
            expires           7d;
    }
    location  / {
            deny all;
    }
}

結語#

可以利用 SSL Server Test -- 安全測試工具 去測試下你的 HTTPS 是否夠安全.

附上 phphub 的 test

技術分享

Nginx 下部署 HTTPS 與安全調優

相關推薦

Nginx 部署 HTTPS 安全調

quest tro efault attribute you attr inf [] validate 什麽是 HTTPS?# HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的

企業級Tomcat部署實踐及安全調

變量 目錄介紹 idl base uil 新版 script rac inf Tomcat是Apache軟件基金會(Apache Software Foundation)的Jakarta 項目中的一個核心項目,由Apache、Sun和其他一些公司及個人共同開發而成。 To

nginx監控效能調

監控 nginx有自帶的監控模組,編譯nginx的時候,加上引數 --with-http_stub_status_module #配置指令 ./configure --prefix=/usr/local --user=nginx --group=nginx

Linux安全調1:CentOS防火墻的設置優化

2.6 裝載 協議棧 先後 sys ip協議 ive 實現 被拒 CentOS防火墻的設置與優化 時間:2014-09-11 02:11來源:blog.csdn.net 作者:成長的小蟲 的BLOG 舉報 點擊:4908次 一、設置主機防火墻。 開放: 服務器的:we

nginx配置效能調

nginx的配置檔案     首先,我的nginx是原始碼編譯的,版本是官網是提供的穩定版1.12.0、根據的我編譯選項,配置檔案被我編譯到/etc/nginx目錄下。 [[email p

Nginx部署SSL證書並重定向至HTTPS

安裝包 進入 protoc .com .html permanent ... !null key 步驟一:下載 Nginx 版證書文件,解壓以後可以看到一個 .key 文件和 .crt/.pem 文件    步驟二:上傳證書。把上面的 .key 文件和 .crt/.pem

【Spark深入學習 -14】Spark應用經驗程序調

aps 它的 stack 申請 vco 用戶 統一 persist 資料 ----本節內容------- 1.遺留問題解答 2.Spark調優初體驗 2.1 利用WebUI分析程序瓶頸 2.2 設置合適的資源 2.3 調整任務的並發度

Nginx部署HTTPS + HTTP2

nginxNginx上部署HTTPS依賴OpenSSL庫和包含文件,即須先安裝好libssl-dev(或者OpenSSL),且ln -s /usr/lib/x86_64-linux-gnu/libssl.so /usr/lib/,然後在編譯配置Nginx時要指定--with-http_ssl_module和

Mysql安裝配置調

mysql clas -c 丟失 mysql命令行 其中 oot grep art 一、安裝apt-get install mysql-server 需要設置賬號密碼 apt-get isntall mysql-client apt-get libmysqlclient-d

機器學習(二)工作流程模型調

發生 較高的 mode lan 包含 因此 增加 絕對值 輸入 上一講中主要描述了機器學習特征工程的基本流程,其內容在這裏:機器學習(一)特征工程的基本流程 本次主要說明如下:   1)數據處理:此部分已經在上一節中詳細討論   2)特征工程:此部分已經在上一節中詳細討論

jvm性能監控GC調

builder mat ont cati 顯示 %20 系統 處理 port 目錄 一 提出問題 二 基於JDK命令行工具的監控 1. JVM的三種參數類型 1.1 標準參數 1.2 X 參數 1.3 XX 參數 1.4 常用命令 2. jstat查看虛擬機統計信息 2

深入理解Java虛擬機器總結一虛擬機器效能監控工具效能調(三)

深入理解Java虛擬機器總結一虛擬機器效能監控工具與效能調優(三) JDK的命令列工具 JDK的視覺化工具 效能調優 JDK的命令列工具 主要有以下幾種: jps (Java Process Status Tool): 虛擬機器程序

Redis 基礎、高階特性效能調

本文將從Redis的基本特性入手,通過講述Redis的資料結構和主要命令對Redis的基本能力進行直觀介紹。之後概覽Redis提供的高階能力,並在部署、維護、效能調優等多個方面進行更深入的介紹和指導。 本文適合使用Redis的普通開發人員,以及對Redis進行選型、架構設計和效能調優的架構設計人員。 &n

【Windows】Windows Server 2012 R2 利用PhpStudy部署apache,並在同一IP部署HTTPS多域名

環境: 伺服器:阿里雲 Windows Server 2012 R2 域名:阿里雲,已備案,已解析 SSL證書:阿里雲,已購買 操作,以阿里云為例: 1.安裝系統更新,關閉IE增強安全配置,開啟防火牆,將常用埠(80,443,3306,8443等)加入入站規則,具體操作如下: 伺服器

機器學習實踐(八)—sklearn之交叉驗證引數調

一、交叉驗證與引數調優 交叉驗證(cross validation) 交叉驗證:將拿到的訓練資料,分為訓練集、驗證集和測試集。 訓練集:訓練集+驗證集 測試集:測試集

HBase LRUBlockCacheBucketCache二級快取機制原理剖析引數調-OLAP商業環境實戰

本套技術專欄是作者(秦凱新)平時工作的總結和昇華,通過從真實商業環境抽取案例進行總結和分享,並給出商業應用的調優建議和叢集環境容量規劃等內容,請持續關注本套部落格。版權宣告:禁止轉載,歡迎學習。QQ郵箱地址:[email protected],如有任何學術交流,可隨時聯絡。

機器學習之模型評估引數調

一、流水線工作流        在利用訓練資料對模型進行擬合時已經得到一些引數,使用流水線可以避免在將模型用於新資料時重新設定這些引數。利用sklearn中的Pipline類,使得我們可以擬合出包含任意多個處理步驟的模型,並將模型用於新資料的預測。 1. # Title

Spark效能優化之資料傾斜調shuffle調

一、資料傾斜發生的原理 原理:在進行shuffle的時候,必須將各個節點上相同的key拉取到某個節點上的一個task來進行處理,比如按照key進行聚合或join等操作。此時如果某個key對應的資料量特別大的話,就會發生資料傾斜。資料傾斜只會發生在shuffle過程中。常用的並且可能會觸

Redis基礎、高階特性效能調

本文將從Redis的基本特性入手,通過講述Redis的資料結構和主要命令對Redis的基本能力進行直觀介紹。之後概覽Redis提供的高階能力,並在部署、維護、效能調優等多個方面進行更深入的介紹和指導。 本文適合使用Redis的普通開發人員,以及對Redis進行選型、

MySQL5.7在CentOS7安裝,配置,調

1、解除安裝系統自帶的 mariadb-lib [[email protected] ~]# rpm -qa | grep mariadb  mariadb-libs-5.5.44-2.el7.centos.x86_64  [[email protecte