Сначала посмотрим на эффект: Оригинал http,Конфигурация После того, как стало лучше https Он также работает и отображается как безопасная ссылка.
первая необходимость SSL-сертификат 。 SSL Сертификат привязан к доменному имени и имеет срок действия. windows Дважды щелкните, чтобы просмотреть соответствующую информацию.
Загруженный сертификат Apache、IIS、Tomcat и Nginx из. то, что нам нужно, это Nginx под папкой crt и key Эти два файла из.
поговорим об этом ниже nginx процесс настройки. Первая загрузка через официальный сайт: https://nginx.org/en/download.html.
Затем нам нужно настроить nginx.conf этот файл.
Файл конфигурации по умолчанию выглядит беспорядочным, вы можете изменить # Удалите все строки комментариев в начале. Давайте сначала поговорим о самых основных моментах конфигурации, чтобы каждый мог их понять, а затем мы постепенно расширим их позже. Только что server Просто выполните следующую настройку здесь.
Код выглядит следующим образом:
server {
listen 443 ssl;
server_name www.xxx.xyz;
ssl_certificate ssl/scsxxx.xyz_server.crt;
ssl_certificate_key ssl/scsxxx.xyz_server.key;
location / {
proxy_pass http://www.xxx.xyz:номер порта;
}
}
Сертификат можно создать в папке, где находится файл конфигурации. ssl папку, поместите в нее информацию о сертификате и затем укажите на нее ссылку.
Затем cmd существовать nginx проходить nginx -t
Вы можете проверить конфигурацию.
прямой nginx Оно бежит.
Не запускайте это повторно, выключите его cmd Оконный процесс все еще существует. Повторный запуск приведет к созданию нескольких процессов. Позже измените его на Конфигурация, а затем откройте окно. nginx -s reload
Элементы конфигурации можно перезагрузить.
Кроме того, вы должны поместить его в группу безопасности, управляемую существующим сервером. 443 Этот порт открыт. Затем успех.
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
# Необязательный: Конфигурация SSL Кэш сеанса повышает производительность
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# Необязательный: давать возможность OCSP Stapling улучшить SSL Проверьте производительность и безопасность
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/ssl_trusted_certificate.crt;
# Необязательный: Конфигурация HSTS для повышения безопасности
add_header Strict-Transport-Security "max-age=31536000" always;
# Необязательный: Конфигурация файла цепочки сертификатов для поддержки некоторых клиентов.
# ssl_chain_certificate /path/to/chain_certificate.crt;
location / {
# Конфигурация установлена на другой сервер
}
}
существоватьвыше Конфигурациясередина:
listen 443 ssl;
обозначение Блок сервера слушает 443 порт и включите SSL 。ssl_certificate
и ssl_certificate_key
Уточняйте отдельно SSL Путь к файлу сертификата и файлу ключа.ssl_protocols
Укажите разрешенное SSL Версия протокола.ssl_prefer_server_ciphers
После включения сторона сервера имеет более высокий приоритет, и выбирается набор шифров стороны сервера.ssl_session_cache
и ssl_session_timeout
Конфигурация SSL Кэширование сеансов для повышения производительности.ssl_stapling
и ssl_stapling_verify
включать OCSP Stapling улучшить SSL Проверьте производительность и безопасность。ssl_trusted_certificate
обозначение OCSP Stapling Проверенная цепочка сертификатов.add_header Strict-Transport-Security
давать возможность HSTS для повышения безопасности.ssl_chain_certificate
Необязательный файл цепочки сертификатов с изображением для поддержки определенных клиентов.