OpenSSL を使用して SSL キーと CSR ファイルを生成する HTTPS を設定するには、秘密鍵 example.key ファイルと証明書 example.crt ファイルが必要です。証明書ファイルを申請する場合は、example.csr ファイルが必要です。OpenSSL コマンドを使用すると、example.key ファイルと証明書 example.csr ファイルを生成できます。 CSR: 証明書署名要求。申請者の DN (識別名) と公開キー情報を含む証明書署名要求ファイル。サードパーティの証明機関が証明書に署名するときに提供する必要があります。 CSR を受け取った後、証明機関はルート証明書の秘密キーを使用して証明書を暗号化し、証明書の暗号化情報と申請者の DN および公開キー情報を含む CRT 証明書ファイルを生成します。 キー: 証明書申請者の秘密キー ファイル。証明書内の公開キーとペアで使用されます。HTTPS の「ハンドシェイク」通信プロセスでは、証明書の公開キーによって暗号化されたクライアントから送信された乱数情報を復号化するために秘密キーが必要です。これは、HTTPS 暗号化通信プロセスで非常に重要なファイルであり、HTTPS を構成するときに使用されます。 OpenSSl コマンドを使用して、システムの現在のディレクトリに example.key ファイルと example.csr ファイルを生成します。
上記コマンドの関連フィールドの意味は次のとおりです。
csr ファイルを生成したら、それを CA 組織に提供します。署名に成功すると、example.crt 証明書ファイルが取得されます。SSL 証明書ファイルを取得したら、Nginx 構成ファイルで HTTPS を構成できます。 HTTPSを構成する 基本設定 HTTPS サービスを有効にするには、構成ファイルの情報ブロック (サーバー ブロック) で、listen コマンドの ssl パラメータを使用し、次に示すようにサーバー証明書ファイルと秘密鍵ファイルを定義する必要があります。 サーバー{ #ssl パラメータ listen 443 ssl; サーバー名 example.com; #証明書ファイル ssl_certificate example.com.crt; #秘密鍵ファイル ssl_certificate_key example.com.key; ssl_プロトコル TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; #... } 証明書ファイルは、サーバーに接続している各クライアントに公開エンティティとして送信されます。秘密鍵ファイルは、セキュリティ エンティティとして、特定の権限制限のあるディレクトリ ファイルに保存し、Nginx メイン プロセスにアクセス権があることを確認する必要があります。 次に示すように、秘密鍵ファイルは証明書ファイルと同じファイルに配置することもできます。
この場合、証明書ファイルの読み取り権限も制限する必要があります。これにより、証明書と秘密鍵が同じファイルに保存されていても、クライアントには証明書のみが送信されるようになります。 ssl_protocols コマンドと ssl_ciphers コマンドを使用すると、接続を SSL/TLS の拡張バージョンとアルゴリズムのみに制限できます。デフォルト値は次のとおりです。
これら 2 つのコマンドのデフォルト値は何度か変更されているため、DH アルゴリズムの定義など、定義する必要がある追加の値がない限り、明示的に定義することはお勧めしません。
HTTP を HTTPS に強制する また、サーバー ブロックを構成し、ポート 80 をリッスンし、書き換えを追加します。 サーバー{ 聞く 80; server_name サーバーのIP; ^(.*)$ https://$host$1 permanent を書き換えます。#http を https に強制します } サーバー構成リファレンス サーバー{ 聞く 80; server_name サーバーのIP; ^(.*)$ https://$host$1 permanent を書き換えます。#http を https に強制します } サーバー{ charset utf-8; #サーバーエンコーディング listen 443 ssl; #リッスンアドレス server_name server ip; #証明書にバインドされたウェブサイトのドメイン名 server_tokens off; #nginx のバージョン番号を非表示 #ssl 構成 ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt; #証明書の公開鍵 ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key; #証明書の秘密鍵 ssl_session_timeout 5m; ssl_ciphers SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_プロトコル TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers をオフ; ssl_dhparam /etc/nginx/dhparams.pem; #リクエスト ヘッダー add_header Strict-Transport-Security max-age=63072000; add_header X-Frame-Options SAMEORIGIN; add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" 常に; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;"; add_header Set-Cookie "HttpOnly"; add_header Set-Cookie "Secure"; #リクエストメソッドの制限## これらのリクエストメソッドのみを許可します ## $request_method !~ ^(GET|POST|DELETE|PUT|PATCH)$ の場合 { 444を返します。 } #アクセスパスの一致する場所 / { root /usr/share/nginx/html; #サイトディレクトリインデックス index.html index.htm; } 場所 /test/ { proxy_pass http://127.0.0.1:8100/; #ローカルポート8100を転送 } #パスへのアクセスを禁止# location /dirdeny { # すべて拒否; # 403 を返します。 #} #エラーページの構成 error_page 502 503 504 /error502.html; 場所 = /error502.html{ ルート /usr/share/nginx/html; } エラーページ 500 /error.html; 場所 = /error.html{ ルート /usr/share/nginx/html; } エラーページ 404 /notfind.html; 場所 = /notfind.html{ ルート /usr/share/nginx/html; } } 以上がこの記事の全内容です。皆様の勉強のお役に立てれば幸いです。また、123WORDPRESS.COM を応援していただければ幸いです。 以下もご興味があるかもしれません:
|
<<: MySQL での %% のようなファジークエリの実装
>>: HTML テーブル マークアップ チュートリアル (4): 境界線の色属性 BORDERCOLOR
Docker でシェル コマンドを実行するには、コマンドの前に sh -c を追加する必要があります...
実装要件ElementUI を模倣したフォームは、インデックス コンポーネント、Form フォーム ...
精度の問題に対する最もわかりやすい説明たとえば、1÷3=0.33333333...という数字は、3が...
SQL の基礎知識がある友人は、「クロステーブル クエリ」について聞いたことがあるはずですが、クロス...
HTML5 は HTML 標準の次のバージョンです。ますます多くのプログラマーが、Web サイトの構...
目次if判定の最適化1. 最も簡単な方法:判断2. より良い方法: スイッチ3. より良いアプローチ...
UCenter Homeは、ComsenzがリリースしたSNSサイト構築システムです。最新バージョン...
この記事では、参考までに、Vue+Vant のトップ検索バーを実装するための具体的なコードを紹介しま...
Linux LVM論理ボリューム構成プロセスの詳細な説明多くの Linux ユーザーは、オペレーティ...
少し前に、「ORACLE でコミットされていないトランザクションの SQL ステートメントを見つける...
join() メソッド: 指定された区切り文字を使用して配列内のすべての要素を文字列に接続します。例...
テストテーブルを作成する -- ---------------------------- -- ch...
(1)サーバー構成: [root@localhost ~]# cd /usr/local/src/ ...
何が大問題ですか?長時間実行され、長時間コミットされないトランザクションは、大規模トランザクションと...
ドライバーモジュールに渡すパラメータ名、タイプ、権限を宣言します。 module_param(変数名...