2. 程式人生 > >Centos7.5 下Nginx配置SSL支持https訪問。

Centos7.5 下Nginx配置SSL支持https訪問。

阿新 發佈:2018-11-17
reload clu stream rst real-ip upstream value 內容 com

核心配置:

? 通過指定由受信任的證書頒發機構(CA)頒發的有效證書,將服務器配置為偵聽端口上的HTTPS流量。
? 通過配置nginx.conf文件來加強安全性。示例包括選擇更強大的密碼,並將所有流量通過HTTP重定向到HTTPS。
? 添加HTTP Strict-Transport-Security(HSTS)頭部確保客戶端所做的所有後續請求僅通過HTTPS。

#################################################################################
nginx配置ssl,需要確保nginx包含相應的模塊--with-http_ssl_module

查看nginx安裝參數是否已經包含此模塊,如果未包含請先安裝此模塊。

[root@linux-node1 ~]# nginx -V

添加/etc/nginx/proxy.conf配置文件:

[root@linux-node1 ~]# vi etc/nginx/proxy.conf
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header X-Forwarded-Proto $scheme;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffers 32 4k;

編輯/etc/nginx/nginx.conf配置文件。配置主要包含兩個部分http和server。

vi /etc/nginx/nginx.conf
http {
include /etc/nginx/proxy.conf;

limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;
server_tokens off;

sendfile on;
keepalive_timeout 29; # Adjust to the lowest possible value that makes sense for your use case.
client_body_timeout 10; client_header_timeout 10; send_timeout 10;

upstream hellomvc{
    server localhost:5000;
}

server {
    listen *:80;
    add_header Strict-Transport-Security max-age=15768000;
    return 301 https://$host$request_uri;
}

server {
    listen *:443    ssl;
    server_name     example.com;
    ssl_certificate /etc/ssl/certs/testCert.crt;
    ssl_certificate_key /etc/ssl/certs/testCert.key;
    ssl_protocols TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
    ssl_ecdh_curve secp384r1;
    ssl_session_cache shared:SSL:10m;
    ssl_session_tickets off;
    ssl_stapling on; #ensure your cert is capable
    ssl_stapling_verify on; #ensure your cert is capable

    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;

    #Redirects all traffic
    location / {
        proxy_pass  http://hellomvc;
        limit_req   zone=one burst=10;
    }
}

}

有幾處需要更改
? server_name改成你的域名=申請證書綁定的域名。
? ssl_certificate改成你的公鑰路徑。
? ssl_certificate_key改成你的私鑰路徑。

一些安全配置

防止Clickjacking(點擊劫持),Clickjacking是一種惡意技術來收集受感染的用戶的點擊。劫持受害者(訪問者)點擊感染的網站,使用X-FRAME-OPTIONS。

編輯nginx.conf文件:

[root@linux-node1 ~]# vi /etc/nginx/nginx.conf
將配置中的
add_header X-Frame-Options DENY;
更改為
add_header X-Frame-Options SAMEORIGIN;
重新加載nginx

[root@linux-node1 ~]# service nginx reload

MIME類型的嗅探,此標頭防止大多數瀏覽器從聲明的內容類型中嗅探響應,因為標頭指示瀏覽器不要覆蓋響應內容類型,使用nosniff選項

編輯nginx.conf文件:

[root@linux-node1 ~]# vi /etc/nginx/nginx.conf
添加行
add_header X-Content-Type-Options nosniff;
上文的nginx.conf已配置好此標頭,保存文件,重新啟動Nginx。

Centos7.5 下Nginx配置SSL支持https訪問。

相關推薦

Centos7.5 Nginx配置SSLhttps訪問

reload clu stream rst real-ip upstream value 內容 com 核心配置: ? 通過指定由受信任的證書頒發機構(CA)頒發的有效證書,將服務器配置為偵聽端口上的HTTPS流量。? 通過配置nginx.conf文件來加強安全性。示例包括

Centos7.2Nginx配置SSLhttps訪問(站點是基於.Net Core2.0開發的WebApi)

ack 保存 受害者 etc proxy cer 查看 綁定 客戶端 準備工作 1.基於nginx部署好的站點(本文站點是基於.Net Core2.0開發的WebApi,有興趣的同學可以跳http://www.cnblogs.com/GreedyL/p/7422796.ht

Centos7.5 Nginx配置SSL支援https訪問

核心配置: • 通過指定由受信任的證書頒發機構(CA)頒發的有效證書,將伺服器配置為偵聽埠上的HTTPS流量。• 通過配置nginx.conf檔案來加強安全性。示例包括選擇更強大的密碼,並將所有流量通過HTTP重定向到HTTPS。• 新增HTTP Strict-Transport-Security(HSTS

Linux nginx配置ssl證書實現https訪問

現在很多網站都會使用SSL證書對網站資料進行傳輸加密,尤其是銀行、金融、電商類的網站。但很多人對於https的理解都存在不少誤區,

nginx配置ssl證書實現https訪問

區分 idt 域名 aes ima list tool get nginx配置文件 一,環境說明 服務器系統:centos7.2 服務器IP地址:4xxxx 域名:bjubi.com 二,域名解析到服務器 在阿裏雲控制臺-產品與服務-雲解析DNS-找到需要解析的域名點“解析

Nginx 配置SSL,實現 https 訪問

之前因為蘋果強制使用 HTTPS,在Apache上配置過SSL了,今天把 Apache換成了Nginx,記錄下Nginx配置SSL過程。   1、在Nginx conf目錄下新建一個 sslkey目錄(nginx-1.12.2\conf\sslkey),並將申請的證書(for

nginx配置ssl證書實現https訪問(附圖解)

最近專案上為了安全訪問,需要把http請求升級到https,所以安裝了nginx來配置SSL證書。我們的證書是客戶購買阿里雲伺服器免費申請的,所以具體的申請是有客戶完成的(這一塊可以直接溝通阿里雲售後),我們拿到的兩個證書有兩個檔案,分別是:xxx.pem(公匙)檔案和xxx

CentOS7.5修改配置檔案,使正常顯示中文

雷:在CentOS 7以前的版本下,預設的字符集路徑一般儲存在/etc/sysconfig/i18n 檔案中。但是在CentOS 7版本中,字符集配置檔案位於/etc/locale.conf。 在修改該檔案之前,可以在命令列介面輸入locale -all先檢視

配置ApacheHTTPS

apache https openssl ssl 1、演示環境:192.168.1.145:CentOS 6.9 x86_64,Apache服務器192.168.1.146:CentOS 7.4 x86_64,私建的CA服務器備註:Apache和CA可以位於同一臺服務器2、192.168.1.

Nginx配置 SSL 證書 + 開啟 HTTPS網站

1. SSL背景介紹 谷歌從 2017 年起,Chrome 瀏覽器將也會把採用 HTTP 協議的網站標記為「不安全」網站;蘋果從 2017 年 iOS App 將強制使用 HTTPS;在國內熱火朝天的

Nginx配置SSL證書部署HTTPS網站(頒發證書)

自行頒發不受瀏覽器信任的SSL證書 手動頒發 xshell登入伺服器,使用openssl生成RSA金鑰及證書 # 生成一個RSA金鑰 $ openssl genrsa -des3 -out tfjybj.key 1024 # 拷貝一個不需要輸入密碼的金

Nginx配置SSL證書部署HTTPS網站

一、什麼是 SSL 證書,什麼是 HTTPS SSL 證書是一種數字證書,它使用 Secure Socket Layer 協議在瀏覽器和 Web 伺服器之間建立一條安全通道,從而實現: 1、資料資訊在客戶端和伺服器之間的加密傳輸,保證雙方傳遞資訊的安全性,不可被第三方竊聽

nginx配置ssl證書後無法訪問https

default conf panel 重啟nginx note 控制臺 class try_files auth 一直聽說https更安全,要安裝證書,一直沒試過,今天終於試了試 首先得有個http的域名網站,服務器。 到阿裏雲的安全-ssl證書管理申請一個免費

nginx配置SSL證書實現https服務

在前面一篇文章中,使用openssl生成了免費證書 後,我們現在使用該證書來實現我們本地node服務的https服務需求。假如我現在node基本架構如下: |----專案 | |--- static # 存放html檔案 | | |--- index.html # in

phpstudy整合環境Apache配置SSL證書支援https訪問

本文作者使用的整合環境為PHPstudy2018,具SSL證書獲得方法用多種這裡就贅述。只針對本文作者在阿里雲申請的免費SSL證書,做講解。 第一步:登入你的阿里雲帳號找到購買SSL證書,找不到的可以直接在阿里帳號上搜索。 如圖購買就行,無費用。 第二步:新增TXT域名解釋記錄值.

ubuntu配置vpn訪問外網

data out 有時 linu 3.2 http 成功 設置 4.2   公司的開發環境都是局域網的,在公司內部使用沒有什麽問題。可是有時候確實要在外部比方家裏、出差使用,這時候就須要配置vpn連接公司內網了。vpn的配置非常easy,但有時我們連了vpn後還須要

nginx如何配置 ssl證書?騰訊雲ssl證書為例!

div null pass 一次 通過 如何 趨勢 oot title nginx下如何配置 ssl證書?騰訊雲ssl證書為例! 目前為止,https已經成為一種趨勢,想要開啟https就需要ssl證書。 首先,為域名註冊ssl證書。 騰訊雲註冊地址:https:

nginx配置https和wss(websocket)協議

cat 監聽 list protoc protocol clas conn ati www. server { listen 80; listen 443 ssl http2; server_name lyz810.com;

CentOS6.5 Nginx 的安裝與配置

ffffff style 指定 this load() 應用 case 編譯 $? 昨天買了個服務器最近在配置一些基礎環境,想在訪問www.wzpbk.com:8080 不想要後面的:8080就能直接訪問到,聽說了Nginx就研究下給服務器裝上傳說中大名鼎鼎 Ng

Linux實戰第八篇:CentOS7.3Nginx虛擬主機配置實戰(基於端口)

基於 sub 主機配置 centos7.3 entos ada .com 版本 fad 個人筆記分享(在線閱讀): http://note.youdao.com/noteshare?id=9a8b56ec54800ccf197eb6c23de55a85&sub=2E3048