如今的网站和应用都已开启https,绝大部分网民也对https有所了解,苹果公司2017年1月1日要求强制开启ATS和HTTPS加密,HTTP是非常不安全的明文传输协议,任何通过HTTP协议传输的数据都以明文形式在网络中“裸奔”,任何数据都处在被窃听、篡改、冒充这三大风险之中,所以开启HTTPS + IPV6协议将是未来互联网势不可挡的趋势,网络环境也将更加安全 。
文章插图
证书申请和配置如果不是购买了DV\\OV\\EV收费版证书,只是想要使用加密证书,这里推荐使用 OHTTPS,因为它支持腾讯云、阿里云、七牛、宝塔一键部署,验证域名申请,证书到期自动续费 。
到 OHTTPS申请好证书后,将cert.key、cert.cer、fullchain.cer下载到本地 。
使用SFTP登录到服务器/usr/local/nginx/conf/ssl/ 目录下,新建文件夹存放加密证书,如:/usr/local/nginx/conf/ssl/opssh
然后到/usr/local/nginx/conf/ssl/目录下,新建文件:dhparam.pem(密钥交换),内容如下:
—–BEGINDHPARAMETERS—–
MIIBCAKCAQEA128R9uyGLlLfuEO9sWtv0q5nbtVxiThJjEHbC/OeMt8dF7pFQ4EE
HZzr2Yx8dEAjsqJY+0VPRRtwGJ6igXxXLlJPPfE4IEuGcBIO2d/2fROAgPaaGiQX
JTjl7JmqBkLmvO4WR9nsZ9bWub5Xm1uSvJcIJ7Yaz5dEu04WDhkg8pQI/Nj5EFXQ
Moi9ChFriIhe8euZqKd3P9V3ljvvaUg8Z7LTwHA3EngdMdmaj5fP2DtA1X9swlFA
XUrb61HKlf3/iCmmxqhU6AG/CPzoxl87cONKiT5Kj4jYPsXk1VYTs+x7jy1n6kx8
aGNTCXRKVWQOvOBQOwiFdSSFODbuTFOnYwIBAg==
—–ENDDHPARAMETERS—–IPV6协议开启如:服务器支持IPV6地址访问,那么就去除 # 号后添加或修改
#listen[::]:80; #listen[::]:443sslhttp2;部署站点SSL证书访问到网站 conf 配置文件,conf文件具体位置在 \” /usr/local/nginx/conf/vhost/ \” 目录文件中,找到对应站点的conf文件(如没有站点配置文件,请新建后进行修改),修改设置如下:
server
{ listen80; listen443sslhttp2; #以上为IPV480443端口监听 listen[::]:80; listen[::]:443sslhttp2; #以上为IPV680443端口监听 server_nameopssh.cnwww.opssh.cn; indexindex.phpindex.htmlindex.htmdefault.phpdefault.htmdefault.html;
root/home/wwwroot/opssh.cn;
#以上分别为网站域名设置、默认访问格式、网站程序存放路径 #error_page404/404.html; #SSL-STARTSSL相关配置,请勿删除或修改带注释的404规则 #HTTP_TO_HTTPS_START if($server_port!~443){ rewrite^(/.*)$https://$host$1permanent; } #REWRITE-START
if($host~\’^www.opssh.cn\’){
return301https://opssh.cn.cn$request_uri;
} #REWRITE-END #以上分别为非443端口访问跳转443端口,301跳转 #443跳转,如:http://opssh.cn->https://opssh.cn
#301跳转,如:https://www.opssh.cn->https://opssh.cn ssl_certificate/usr/local/nginx/conf/ssl/opssh/fullchain.cer;
ssl_certificate_key/usr/local/nginx/conf/ssl/opssh/cert.key;
#证书存放路径,分别为中间证书文件、私钥文件 ssl_session_timeout5m;
ssl_protocolsTLSv1.1TLSv1.2TLSv1.3;
#TLS协议 ssl_prefer_server_cipherson;
ssl_ciphers\”TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5\”;
#加密套件 ssl_session_cachebuiltin:1000shared:SSL:10m; #openssldhparam-out/usr/local/nginx/conf/ssl/dhparam.pem2048
ssl_dhparam/usr/local/nginx/conf/ssl/dhparam.pem;
#密钥交换文件 add_headerStrict-Transport-Security\”max-age=31536000\”; error_page497https://$host$request_uri; includerewrite/php.conf;
#网站规则设置文件 #error_page404/404;
#DenyaccesstoPHPfilesinspecificdirectory
#location~/(wp-content|uploads|wp-includes|images)/.*\\.php${denyall;} includeenable-php.conf; location~.*\\.(gif|jpg|jpeg|png|bmp|swf)${
expires30d;
} location~.*\\.(js|css)?${
expires12h;
} location~/.well-known{
allowall;
} location~/\\.{
denyall;
} access_logoff;
}配置内容解说:添加add_header#减少点击劫持
add_headerX-Frame-OptionsDENY;
#禁止服务器自动解析资源类型
add_headerX-Content-Type-Optionsnosniff;
#防XSS攻击
add_headerX-Xss-Protection1;如果使用https加密检查提示下面内容,可对应修改;服务器支持弱Diffie-Hellman(DH)密钥交换参数,修改后后支持http/2
ssl_ciphers\”EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5\”;修改为:
ssl_ciphers\”TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5\”;
推荐阅读
- 笔记本电脑怎么选配置 新手如何买笔记本电脑
- iphone14max参数配置 苹果14max值不值得购买
- 购买电脑的配置基本知识 目前最好的电脑组装机配置单
- lol什么配置可以玩 玩lol不会卡的电脑配置
- 荣耀20pro手机怎么样 荣耀20pro详细配置
- 赵欣这个名字怎么样
- 由于应用程序配置不正确的解决办法,"应用程序配置文件丢失,启动失败"你知道这句话什么意思吗?
- 中兴畅行30参数 中兴畅行30配置一览
- 什么样的配置,才算人生的顶配?
- OPPOA7的全方位的评测 oppoa7的配置怎么样