一、HTTPS 是什么?

根據(jù)維基百科的解釋：

如果一個網(wǎng)站沒有加密，那么你的所有帳號密碼都是明文傳輸?？上攵?，如果涉及到隱私和金融問題，不加密的傳輸是多么可怕的一件事。

鑒于本博客的讀者都是接近專業(yè)人士，我們不再多費(fèi)口舌，直接進(jìn)入正題吧。

二、使用 OpenSSL 生成 SSL Key 和 CSR

由于只有瀏覽器或者系統(tǒng)信賴的 CA 才可以讓所有的訪問者通暢的訪問你的加密網(wǎng)站，而不是出現(xiàn)證書錯誤的提示。所以我們跳過自簽證書的步驟，直接開始簽署第三方可信任的 SSL 證書吧。

OpenSSL 在 Linux、OS X 等常規(guī)的系統(tǒng)下默認(rèn)都安裝了，因為一些安全問題，一般現(xiàn)在的第三方 SSL 證書簽發(fā)機(jī)構(gòu)都要求起碼 2048 位的 RSA 加密的私鑰。

同時，普通的 SSL 證書認(rèn)證分兩種形式，一種是 DV(Domain Validated)，還有一種是 OV (Organization Validated)，前者只需要驗證域名，后者需要驗證你的組織或公司，在安全性方面，肯定是后者要好。

無論你用 DV 還是 OV 生成私鑰，都需要填寫一些基本信息，這里我們假設(shè)如下：

域名，也稱為 Common Name，因為特殊的證書不一定是域名：example.com

組織或公司名字(Organization)：Example， Inc.

部門(Department)：可以不填寫，這里我們寫 Web Security

城市(City)：Beijing

省份(State / Province)：Beijing

國家(Country)：CN

加密強(qiáng)度：2048 位，如果你的機(jī)器性能強(qiáng)勁，也可以選擇 4096 位

按照以上信息，使用 OpenSSL 生成 key 和 csr 的命令如下

PS：如果是泛域名證書，則應(yīng)該填寫 *.example.com

你可以在系統(tǒng)的任何地方運(yùn)行這個命令，會自動在當(dāng)前目錄生成 example_com.csr 和 example_com.key 這兩個文件

接下來你可以查看一下 example_com.csr，得到類似這么一長串的文字

這個 CSR 文件就是你需要提交給 SSL 認(rèn)證機(jī)構(gòu)的，當(dāng)你的域名或組織通過驗證后，認(rèn)證機(jī)構(gòu)就會頒發(fā)給你一個 example_com.crt

而 example_com.key 是需要用在 Nginx 配置里和 example_com.crt 配合使用的，需要好好保管，千萬別泄露給任何第三方。

三、Nginx 配置 HTTPS 網(wǎng)站以及增加安全的配置

前面已經(jīng)提到，你需要提交 CSR 文件給第三方 SSL 認(rèn)證機(jī)構(gòu)，通過認(rèn)證后，他們會頒發(fā)給你一個 CRT 文件，我們命名為 example_com.crt

同時，為了統(tǒng)一，你可以把這三個文件都移動到 /etc/ssl/private/ 目錄。

然后可以修改 Nginx 配置文件

檢測配置文件沒問題后重新讀取 Nginx 即可

但是這么做并不安全，默認(rèn)是 SHA-1 形式，而現(xiàn)在主流的方案應(yīng)該都避免 SHA-1，為了確保更強(qiáng)的安全性，我們可以采取迪菲-赫爾曼密鑰交換

首先，進(jìn)入 /etc/ssl/certs 目錄并生成一個 dhparam.pem

生成完畢后，在 Nginx 的 SSL 配置后面加入

同時，如果是全站 HTTPS 并且不考慮 HTTP 的話，可以加入 HSTS 告訴你的瀏覽器本網(wǎng)站全站加密，并且強(qiáng)制用 HTTPS 訪問

同時也可以單獨(dú)開一個 Nginx 配置，把 HTTP 的訪問請求都用 301 跳轉(zhuǎn)到 HTTPS

四、可靠的第三方 SSL 簽發(fā)機(jī)構(gòu)

眾所周知，前段時間某 NIC 機(jī)構(gòu)爆出過針對 Google 域名的證書簽發(fā)的丑聞，所以可見選擇一家靠譜的第三方 SSL 簽發(fā)機(jī)構(gòu)是多么的重要。

目前一般市面上針對中小站長和企業(yè)的 SSL 證書頒發(fā)機(jī)構(gòu)有：

StartSSL

Comodo / 子品牌 Positive SSL

GlobalSign / 子品牌 AlphaSSL

GeoTrust / 子品牌 RapidSSL

其中 Postivie SSL、AlphaSSL、RapidSSL 等都是子品牌，一般都是三級四級證書，所以你會需要增加 CA 證書鏈到你的 CRT 文件里。

以 Comodo Positive SSL 為例，需要串聯(lián) CA 證書，假設(shè)你的域名是 example.com

那么，串聯(lián)的命令是：

在 Nginx 配置里使用 example_com.signed.crt 即可

如果是一般常見的 AplhaSSL 泛域名證書，他們是不會發(fā)給你 CA 證書鏈的，那么在你的 CRT 文件后面需要加入 AlphaSSL 的 CA 證書鏈

AlphaSSL Intermediate CA：https://www.alphassl.com/support/install-root-certificate.html

五、針對企業(yè)的 EV SSL

EV SSL，是 Extended Validation 的簡稱，更注重于對企業(yè)網(wǎng)站的安全保護(hù)以及嚴(yán)格的認(rèn)證。

最明顯的區(qū)別就是，通常 EV SSL 顯示都是綠色的條，比如本站的 SSL 證書就是 EV SSL。

以上就是如何在nginx下使用SSL搭建HTTPS網(wǎng)站的全部內(nèi)容了，希望大家能夠喜歡

最新評論