創(chuàng)建一個(gè)HTTPS服務(wù)器

在nginx.conf配置文件中,在server塊里面通過listen指令指定ssl的參數(shù),設(shè)置好服務(wù)器證書和私鑰文件的路徑

server { listen    443 ssl; server_name   www.example.com; ssl_certificate  www.example.com.crt; ssl_certificate_key www.example.com.key; ssl_protocols  TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers   HIGH:!aNULL:!MD5; ...}

服務(wù)器證書是一個(gè)公開實(shí)體,它會(huì)被發(fā)送給每一個(gè)連接過來的客戶端.私鑰是一個(gè)安全實(shí)體,它應(yīng)該被存儲(chǔ)在一個(gè)限制權(quán)限的文件中.但是nginx的master進(jìn)程必須能夠讀到該私鑰文件. 私鑰也可以和證書放在一個(gè)文件里面.

ssl_certificate www.example.com.cert;ssl_certificate_key www.example.com.cert;

在這個(gè)例子里面,文件的訪問權(quán)限應(yīng)該被限制.盡管證書和私鑰在一個(gè)文件里面,只有證書會(huì)被發(fā)送給客戶端.

ssl_protocols 和ssl_ciphers 指令可以被用來限制連接,只包含高版本的TLS和SSL/TLS的密碼

從nginx 1.0.5版本開始,nginx默認(rèn)使用ssl_protocols SSLv3 TLSv1和ssl_ciphers HIGH:!aNULL:!MD5.從nginx 1.1.13 和 1.0.12 版本開始,默認(rèn)更新成了 ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2 

一個(gè)單一的HTTP和HTTPS服務(wù)

可以配置一個(gè)服務(wù)同時(shí)支持HTTP和HTTPS請求, 在虛擬主機(jī)中使用listen指令,一個(gè)帶著ssl參數(shù),一個(gè)不帶參數(shù).

server { listen    80; listen    443 ssl; server_name   www.example.com; ssl_certificate  www.example.com.crt; ssl_certificate_key www.example.com.key; ...}

在nginx 0.7.13和更早的版本中,SSL不能被單獨(dú)設(shè)置監(jiān)聽socket.只能通過ssl指令為全部server開啟SSL,才能實(shí)現(xiàn)HTTP/HTTPS同時(shí)支持.為了解決這一問題,為listen指令添加了ssl參數(shù).因此在0.7.14和之后的版本中,ssl指令不能再用了.　　

基于名稱的HTTPS服務(wù)

一個(gè)很普遍的問題出現(xiàn)了,那就是解決當(dāng)在一個(gè)ip地址配置監(jiān)聽兩個(gè)或多個(gè)HTTPS服務(wù).

server { listen   443 ssl; server_name  www.example.com; ssl_certificate www.example.com.crt; ...} server { listen   443 ssl; server_name  www.example.org; ssl_certificate www.example.org.crt; ...}

使用這個(gè)配置,瀏覽器只能接收到默認(rèn)的證書,在這個(gè)例子中就是www.example.com證書.這個(gè)是因?yàn)镾SL協(xié)議本身造成的.SSL的連接是在瀏覽器發(fā)送HTTP請求之前建立的,因此nginx不知道請求的名稱.所以它只能提供默認(rèn)服務(wù)的證書.

解決這一問題最好的方式是分配不同的IP地址給每一個(gè)HTTPS服務(wù)

server { listen   192.168.1.1:443 ssl; server_name  www.example.com; ssl_certificate www.example.com.crt; ...} server { listen   192.168.1.2:443 ssl; server_name  www.example.org; ssl_certificate www.example.org.crt; ...}

使用多個(gè)名稱生成SSL證書

這里有其他的方式解決上面的問題,但是每一種都有各自的缺點(diǎn).一種方式是生成證書的時(shí)候更改SubjectAltName字段,比如: www.example.com 和 www.example.org 兩個(gè),但是這個(gè)字段有長度限制.

另一種方式是證書名稱那里使用通配符,比如: *.example.org,但是 通配符名稱只能用在一級子域名上.這個(gè)名稱可以匹配www.example.org ,但是不能匹配example.org或 www.sub.example.org

這兩種方式可以結(jié)合起來,在SubjectAltName字段里填上 example.org 和 *.example.org

最好把多域名證書和私鑰放在配置http塊中,這樣所有的服務(wù)都可以繼承這個(gè)配置

ssl_certificate  common.crt;ssl_certificate_key common.key; server { listen   443 ssl; server_name  www.example.com; ...} server { listen   443 ssl; server_name  www.example.org; ...}

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持VEVB武林網(wǎng)。