通过SSL证书在Nginx中设置Https构建加密通道担保数据传输安详

server { listen 443; server_name www.iivey.com; index index.php index.html; root /data/webhtdocs/iivey; ssl on; ssl_certificate iivey.crt; ssl_certificate_key iivey.key; ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; add_header X-Xss-Protection 1; }

简朴先容下上面每个设置选项的寄义：

ssl on：暗示启用SSL成果。

ssl_certificate：用来指定CRT文件的路径，可所以相对路径，也可所以绝对路径，本例是相对路径，iivey.crt文件放在和nginx.conf同级目次下。

ssl_certificate_key：用来指定秘钥文件的路径，可所以相对路径，也可所以绝对路径，本例是相对路径，iivey.key文件放在和nginx.conf同级目次下。

ssl_prefer_server_ciphers on：配置协商加密算法时，优先行使我们处事端的加密套件，而不是客户端赏识器的加密套件。

ssl_protocols：此指令用于启动特定的加密协议，这里配置为“TLSv1 TLSv1.1 TLSv1.2”，TLSv1.1与TLSv1.2要确保openssl版本大于便是openssl1.0.1 ，SSLv3也可以行使，可是有不少被进攻的裂痕，以是此刻很少行使了。

ssl_ciphers：选择加密套件和加密算法，差异的赏识器所支持的套件温次序也许会有差异。这里选择默认即可。

add_header X-Frame-Options DENY：这是个加强安详性的选项，暗示镌汰点击挟制。

add_header X-Content-Type-Options nosniff：同样是加强安详性的选项，暗示榨取处事器自动理会资源范例。

add_header X-Xss-Protection 1：同样是加强安详性的选项，暗示防备XSS进攻。

5、验证HTTPS成果

Nginx的https设置完成后，必要测试下设置是否正常，这里提供两种方法，第一种方法是直接通过赏识器会见https处事，这里行使火狐赏识器举办测试，假如https设置正常的话，应该会直接打开页面，而不会呈现如下界面：

呈现这个界面，声名https没有设置乐成，必要搜查https设置是否正确。而在打开https页面后，也许还会呈现一种环境，如下图所示：

这个征象是可以或许打开https界面，可是赏识器地点栏左边的小锁是灰色，而且有个黄色的叹息号，这声名这个网站的页面中也许引用了第三方网站的图片、js、css等资源文件，https以为页面有引用第三方网站资源的环境是不安详的，以是才呈现了告诫提醒。办理这个题目很简朴，将页面上全部引用第三方网站的资源文件下载到当地，然后通过当地路径举办引用即可。

修改全部资源文件到当地处事器后，再次通过https方法举办会见，赏识器地点栏左边的小锁自动酿成绿色，而且叹息号消散，如下图所示：

至此，nginx下设置https处事已经正常运行。

在赏识器下可以查察证书信息(证书厂商、证书机构、证书有用期等)，点击赏识器地点栏的绿锁，选择查察证书，即可查察证书具体信息，如下图所示：

验证SSL证书状态尚有其它一个要领，那就是通过提供的在线网站举办验证，读者可以通过https://myssl.com/网站或https://www.ssllabs.com/ssltest/网站举办在线测试，这些网站可以更具体的测试SSL证书的状态、安详性、兼容性等各方面的状态。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!