Nginx の構成と HTTP 実装コード分析との互換性

Nginx の構成と HTTP 実装コード分析との互換性

OpenSSL を使用して SSL キーと CSR ファイルを生成する

HTTPS を設定するには、秘密鍵 example.key ファイルと証明書 example.crt ファイルが必要です。証明書ファイルを申請する場合は、example.csr ファイルが必要です。OpenSSL コマンドを使用すると、example.key ファイルと証明書 example.csr ファイルを生成できます。

CSR: 証明書署名要求。申請者の DN (識別名) と公開キー情報を含む証明書署名要求ファイル。サードパーティの証明機関が証明書に署名するときに提供する必要があります。 CSR を受け取った後、証明機関はルート証明書の秘密キーを使用して証明書を暗号化し、証明書の暗号化情報と申請者の DN および公開キー情報を含む CRT 証明書ファイルを生成します。

キー: 証明書申請者の秘密キー ファイル。証明書内の公開キーとペアで使用されます。HTTPS の「ハンドシェイク」通信プロセスでは、証明書の公開キーによって暗号化されたクライアントから送信された乱数情報を復号化するために秘密キーが必要です。これは、HTTPS 暗号化通信プロセスで非常に重要なファイルであり、HTTPS を構成するときに使用されます。

OpenSSl コマンドを使用して、システムの現在のディレクトリに example.key ファイルと example.csr ファイルを生成します。

openssl req -new -newkey rsa:2048 -sha256 -nodes -out example_com.csr -keyout example_com.key -subj "/C=CN/ST=ShenZhen/L=ShenZhen/O=Example Inc./OU=Web Security/CN=example.com"

上記コマンドの関連フィールドの意味は次のとおりです。

  • C:国、ユニットが所在する国。2桁の国名略称。例:CNは中国
  • ST フィールド: 州/県、ユニットが所在する州または県
  • L フィールド: 地域、ユニットが所在する市および郡
  • O フィールド: 組織、この Web サイトの組織名。
  • OU フィールド: 組織単位、下位部門の名前。証明書の種類、証明書製品名、認証の種類、検証内容など、その他の証明書関連情報を表示するためにもよく使用されます。
  • CN フィールド: 共通名、Web サイトのドメイン名。

csr ファイルを生成したら、それを CA 組織に提供します。署名に成功すると、example.crt 証明書ファイルが取得されます。SSL 証明書ファイルを取得したら、Nginx 構成ファイルで HTTPS を構成できます。

HTTPSを構成する

基本設定

HTTPS サービスを有効にするには、構成ファイルの情報ブロック (サーバー ブロック) で、listen コマンドの ssl パラメータを使用し、次に示すようにサーバー証明書ファイルと秘密鍵ファイルを定義する必要があります。

	
サーバー{
  #ssl パラメータ listen 443 ssl;
  サーバー名 example.com;
  #証明書ファイル ssl_certificate example.com.crt;
  #秘密鍵ファイル ssl_certificate_key example.com.key;
  ssl_プロトコル TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers HIGH:!aNULL:!MD5;
  #...
}

証明書ファイルは、サーバーに接続している各クライアントに公開エンティティとして送信されます。秘密鍵ファイルは、セキュリティ エンティティとして、特定の権限制限のあるディレクトリ ファイルに保存し、Nginx メイン プロセスにアクセス権があることを確認する必要があります。

次に示すように、秘密鍵ファイルは証明書ファイルと同じファイルに配置することもできます。

ssl_certificate www.example.com.cert;
ssl_certificate_key www.example.com.cert;

この場合、証明書ファイルの読み取り権限も制限する必要があります。これにより、証明書と秘密鍵が同じファイルに保存されていても、クライアントには証明書のみが送信されるようになります。

ssl_protocols コマンドと ssl_ciphers コマンドを使用すると、接続を SSL/TLS の拡張バージョンとアルゴリズムのみに制限できます。デフォルト値は次のとおりです。

ssl_プロトコル TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;

これら 2 つのコマンドのデフォルト値は何度か変更されているため、DH アルゴリズムの定義など、定義する必要がある追加の値がない限り、明示的に定義することはお勧めしません。

#DHファイルを使用する
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_プロトコル TLSv1 TLSv1.1 TLSv1.2;
#アルゴリズムを定義する
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
#...

HTTP を HTTPS に強制する

また、サーバー ブロックを構成し、ポート 80 をリッスンし、書き換えを追加します。

サーバー{ 
  聞く 80;
  server_name サーバーのIP;   
  ^(.*)$ https://$host$1 permanent を書き換えます。#http を https に強制します
}

サーバー構成リファレンス

サーバー{ 
  聞く 80;
  server_name サーバーのIP;   
  ^(.*)$ https://$host$1 permanent を書き換えます。#http を https に強制します
}
サーバー{
  charset utf-8; #サーバーエンコーディング listen 443 ssl; #リッスンアドレス server_name server ip; #証明書にバインドされたウェブサイトのドメイン名 server_tokens off; #nginx のバージョン番号を非表示 #ssl 構成 ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt; #証明書の公開鍵 ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key; #証明書の秘密鍵 ssl_session_timeout 5m;
  ssl_ciphers SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
  ssl_プロトコル TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers をオフ;
  ssl_dhparam /etc/nginx/dhparams.pem;  

  #リクエスト ヘッダー add_header Strict-Transport-Security max-age=63072000;
  add_header X-Frame-Options SAMEORIGIN;
  add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" 常に;
  add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block";
  add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
  add_header Set-Cookie "HttpOnly";
  add_header Set-Cookie "Secure";
  
  #リクエストメソッドの制限## これらのリクエストメソッドのみを許可します ##
   $request_method !~ ^(GET|POST|DELETE|PUT|PATCH)$ の場合 {
     444を返します。
   }
  
  #アクセスパスの一致する場所 / {
    root /usr/share/nginx/html; #サイトディレクトリインデックス index.html index.htm;
  }
  場所 /test/ {
     proxy_pass http://127.0.0.1:8100/; #ローカルポート8100を転送
  }
 
  #パスへのアクセスを禁止# location /dirdeny {
  # すべて拒否;
  # 403 を返します。
  #}

  #エラーページの構成 error_page 502 503 504 /error502.html;
    場所 = /error502.html{
    ルート /usr/share/nginx/html;
  }
  エラーページ 500 /error.html;
   場所 = /error.html{
      ルート /usr/share/nginx/html;
    }
  エラーページ 404 /notfind.html;
   場所 = /notfind.html{
      ルート /usr/share/nginx/html;
    }
}

以上がこの記事の全内容です。皆様の勉強のお役に立てれば幸いです。また、123WORDPRESS.COM を応援していただければ幸いです。

以下もご興味があるかもしれません:
  • nginx 基本チュートリアル
  • Nginx 設定入門チュートリアル
  • Windows での nginx HTTP サーバーの入門チュートリアル
  • Nginx ロードバランシングとは何か、そしてそれをどのように設定するか
  • Nginx 最適化サービスで Web ページ圧縮を実装する方法
  • nginx を最適化する 6 つの方法
  • Nginx がフロントエンド リソースへのクロスドメイン アクセスの問題をどのように解決するかの詳細な説明
  • proxy_pass を設定した後に Nginx が 404 を返す問題を解決する
  • Nginx をベースに特定の IP への短期アクセス数を制限する
  • Nginx サービス クイック スタート チュートリアル

<<:  MySQL での %% のようなファジークエリの実装

>>:  HTML テーブル マークアップ チュートリアル (4): 境界線の色属性 BORDERCOLOR

推薦する

Mysql は非集計列を選択できません

1. はじめに最近ブログをアップグレードし、記事ページの下部に前の記事と次の記事に直接ジャンプできる...

HTML の div、td、p およびその他のコンテナーでの強制改行と非改行の実装

1. 改行を強制せず、省略記号で終了します。コードをコピーコードは次のとおりです。 <div ...

Vueカスケードドロップダウンボックスの設計と実装

目次1. データベース設計2. フロントエンドページ3. 完全なデモフロントエンド開発では、カスケー...

Linux 環境に MySQL 8.0 をインストールするプロセスの紹介

目次序文1. Linux は yum ソースを変更します (MYSQL のインストールが遅い場合は試...

Nginx プロキシを使用してインターネットを閲覧する方法

私は通常、Tomcatや他のアプリケーションのリバースプロキシとしてnginxを使用しています。実際...

MySQL は、現在のデータ テーブル内のすべての時間に対して指定された時間間隔を増加または減少させます (推奨)

DATE_ADD() 関数は、指定された時間間隔を日付に追加します。現在のテーブル内のすべてのデー...

ダッシュボードを実装するためのjQueryプラグイン

jQueryプラグインは、参考のためにダッシュボードを実装します。具体的な内容は次のとおりです。一般...

ウェブページのメモリとCPU使用量を削減する方法

<br />Web ページによっては、サイズは大きくないように見えても開くのに非常に時間...

MySQL 8.0.16 winx64 のインストールと設定方法のグラフィックチュートリアル

最近、データベースについて学び始めました。最初にやったことは、データベースとは何か、データベースとデ...

スライドドアを実装するための CSS サンプルコード

いわゆるスライディングドアテクノロジーとは、さまざまな長さのテキストに合わせてボックスの背景を自動的...

MySQLトランザクションの基本的な学習と経験の共有

トランザクションは、論理的な操作のグループです。この操作グループを構成する各ユニットは、成功するか失...

React antdはフォームの動的な増減を実現します

以前、動的フォームを記述しているときに落とし穴に遭遇しました。インデックスの添え字をキーとして使用す...

{{ }} で関数を直接使用する WeChat アプレットの例

序文WeChat アプレット開発 (ネイティブ wxml、wxcss) で、{{ }} 内で直接メソ...

vue-cli の紹介とインストール

目次1. はじめに2. vue-cli の紹介2.1 コマンドライン2.2 CLI サービス2.3 ...