創(chuàng)建一個(gè)HTTPS服務(wù)器

在nginx.conf配置文件中,在server塊里面通過(guò)listen指令指定ssl的參數(shù),設(shè)置好服務(wù)器證書(shū)和私鑰文件的路徑

server { listen    443 ssl; server_name   www.example.com; ssl_certificate  www.example.com.crt; ssl_certificate_key www.example.com.key; ssl_protocols  TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers   HIGH:!aNULL:!MD5; ...}

服務(wù)器證書(shū)是一個(gè)公開(kāi)實(shí)體,它會(huì)被發(fā)送給每一個(gè)連接過(guò)來(lái)的客戶(hù)端.私鑰是一個(gè)安全實(shí)體,它應(yīng)該被存儲(chǔ)在一個(gè)限制權(quán)限的文件中.但是nginx的master進(jìn)程必須能夠讀到該私鑰文件. 私鑰也可以和證書(shū)放在一個(gè)文件里面.

ssl_certificate www.example.com.cert;ssl_certificate_key www.example.com.cert;

在這個(gè)例子里面,文件的訪(fǎng)問(wèn)權(quán)限應(yīng)該被限制.盡管證書(shū)和私鑰在一個(gè)文件里面,只有證書(shū)會(huì)被發(fā)送給客戶(hù)端.

ssl_protocols 和ssl_ciphers 指令可以被用來(lái)限制連接,只包含高版本的TLS和SSL/TLS的密碼

從nginx 1.0.5版本開(kāi)始,nginx默認(rèn)使用ssl_protocols SSLv3 TLSv1和ssl_ciphers HIGH:!aNULL:!MD5.從nginx 1.1.13 和 1.0.12 版本開(kāi)始,默認(rèn)更新成了 ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2 

一個(gè)單一的HTTP和HTTPS服務(wù)

可以配置一個(gè)服務(wù)同時(shí)支持HTTP和HTTPS請(qǐng)求, 在虛擬主機(jī)中使用listen指令,一個(gè)帶著ssl參數(shù),一個(gè)不帶參數(shù).

server { listen    80; listen    443 ssl; server_name   www.example.com; ssl_certificate  www.example.com.crt; ssl_certificate_key www.example.com.key; ...}

在nginx 0.7.13和更早的版本中,SSL不能被單獨(dú)設(shè)置監(jiān)聽(tīng)socket.只能通過(guò)ssl指令為全部server開(kāi)啟SSL,才能實(shí)現(xiàn)HTTP/HTTPS同時(shí)支持.為了解決這一問(wèn)題,為listen指令添加了ssl參數(shù).因此在0.7.14和之后的版本中,ssl指令不能再用了.　　

基于名稱(chēng)的HTTPS服務(wù)

一個(gè)很普遍的問(wèn)題出現(xiàn)了,那就是解決當(dāng)在一個(gè)ip地址配置監(jiān)聽(tīng)兩個(gè)或多個(gè)HTTPS服務(wù).

server { listen   443 ssl; server_name  www.example.com; ssl_certificate www.example.com.crt; ...} server { listen   443 ssl; server_name  www.example.org; ssl_certificate www.example.org.crt; ...}

使用這個(gè)配置,瀏覽器只能接收到默認(rèn)的證書(shū),在這個(gè)例子中就是www.example.com證書(shū).這個(gè)是因?yàn)镾SL協(xié)議本身造成的.SSL的連接是在瀏覽器發(fā)送HTTP請(qǐng)求之前建立的,因此nginx不知道請(qǐng)求的名稱(chēng).所以它只能提供默認(rèn)服務(wù)的證書(shū).

解決這一問(wèn)題最好的方式是分配不同的IP地址給每一個(gè)HTTPS服務(wù)

server { listen   192.168.1.1:443 ssl; server_name  www.example.com; ssl_certificate www.example.com.crt; ...} server { listen   192.168.1.2:443 ssl; server_name  www.example.org; ssl_certificate www.example.org.crt; ...}

使用多個(gè)名稱(chēng)生成SSL證書(shū)

這里有其他的方式解決上面的問(wèn)題,但是每一種都有各自的缺點(diǎn).一種方式是生成證書(shū)的時(shí)候更改SubjectAltName字段,比如: www.example.com 和 www.example.org 兩個(gè),但是這個(gè)字段有長(zhǎng)度限制.

另一種方式是證書(shū)名稱(chēng)那里使用通配符,比如: *.example.org,但是 通配符名稱(chēng)只能用在一級(jí)子域名上.這個(gè)名稱(chēng)可以匹配www.example.org ,但是不能匹配example.org或 www.sub.example.org

這兩種方式可以結(jié)合起來(lái),在SubjectAltName字段里填上 example.org 和 *.example.org

最好把多域名證書(shū)和私鑰放在配置http塊中,這樣所有的服務(wù)都可以繼承這個(gè)配置

ssl_certificate  common.crt;ssl_certificate_key common.key; server { listen   443 ssl; server_name  www.example.com; ...} server { listen   443 ssl; server_name  www.example.org; ...}

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持VEVB武林網(wǎng)。