Open in app

Sign in

Write

Sign in

在Nginx上為你的網站加入Https

Zneu Ray
10 min readFeb 25, 2017

--

從今年起Google將開始主動推廣https(來源),因此只要你使用的是Chrome瀏覽器,就會看到Google將還是使用http但包含敏感資訊如密碼或信用卡等的網站標示為不安全,開個空網站加入密碼欄位就可以看到下圖的結果

那麼就來為你的網站加入https吧

製作ssl憑證(certificate)

Https指的就是http透過ssl加密,所以我們第一步要先來製作我們的ssl憑證,首先在系統輸入

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout demo.key -out demo.csr
  • req -x509 : 指定request要使用X.509憑證驗證
  • -nodes : 產生的憑證不需要密碼,不然每重新啟動nginx就要輸入一次
  • -days : 有效日期,3650表示約10年
  • -newkey rsa:2048 : 我們需要同時產生csr(certificate singing request)與key(private key)檔並使用2048 bits的RSA加密
  • -keyout : key輸出的位置與檔名,這裡測試填 demo.key ,請自行更換
  • -out : csr輸出的位置與檔名,這裡測試填 demo.csr ,請自行更換

輸入完後會出現以下內容需要填寫

Country Name (2 letter code) [AU]:TW  # 國碼State or Province Name (full name) [Some-State]:Taiwan  # 國或洲名Locality Name (eg, city) []:Taichung  # 城市名Organization Name (eg, company) [Internet Widgits Pty Ltd]:Demo  # 組織或公司名Organizational Unit Name (eg, section) []: # 公司單位名Common Name (e.g. server FQDN or YOUR name) []:www.demo.com # 網域名Email Address []:demo@demo.com  # Email

要特別注意的是Common Name千萬不要填錯,https是根據你Common Name與你目前進入網站的domain是否符合,你購買的domain是demo.com就必需填入對應你需要加入https的主機如 : www.demo.com

填完後就會產生 demo.keydemo.csr ,內容會長這樣

# demo.key
-----BEGIN RSA PRIVATE KEY-----
xxx
-----END RSA PRIVATE KEY-----# demo.csr
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----

也可以透過指令來查看產生的csr檔實際內容

openssl x509 -in demo.csr -text

可看到剛剛輸入的內容都記錄在csr內

Certificate:Data:Version: 3 (0x2)Serial Number:a8:af:34:4f:b4:b3:80:b5Signature Algorithm: sha1WithRSAEncryptionIssuer: C=TW, ST=Taiwan, L=Taichung, O=Demo, CN=www.demo.com/emailAddress=demo@demo.comValidityNot Before: Feb 23 17:40:31 2017 GMTNot After : Feb 21 17:40:31 2027 GMTSubject: C=TW, ST=Taiwan, L=Taichung, O=Demo, CN=www.demo.com/emailAddress=demo@demo.comSubject Public Key Info:Public Key Algorithm: rsaEncryptionRSA Public Key: (2048 bit)... 以下略

購買ssl憑證

在剛剛已經製作出ssl憑證了,但如果這樣就可以自行製作的話那也太沒信用,因此我們要透過第三方機構來驗證你的憑證的真實性,就要你花錢就是了。

有提供驗證的機構非常多,如GoDaddy、Comodo等,每家價錢也都不一樣,可挑選喜歡的或多比價。購買的方案大致上可分為3種

  1. Standard(一般) : 最便宜的方案,只可對應一組網址,如果你只有一個網站需要就買這個吧,價格一年約3千上下,在網址列可看到綠色的安全字樣
  2. EV : 較嚴格的驗證方案,價格一年約5千上下,網址列會顯示綠色的驗證機構名稱,例如我們現在看Medium就是由 A Medium Corporation [US] 驗證
  3. Wildcard(萬用字元) : 可以對應一組網址及底下的所有子網域,有多個服務在同個網址下的話可以考慮這個,價格一年約1萬

購買過程需要將你的csr的內容貼上或上傳,購買完成後你應該會收到2個檔案

  1. 主要crt檔,檔名一般是你申請的網域名如: www_demo_com.crt
  2. bundle檔,又稱為intermediate certificate

不過有些網站可能會直接提供 .pem 檔,這個檔案其實就是把crt與bundle合併後的檔案,而如果你拿到是分開的兩個檔案你也需要將他合併為1個,可使用以下方式合併

cat www_demo_com.crt www_demo_com.bundle >> www_demo_com.pem

完成以上動作後就可以將你的key與pem上傳到server上

Nginx設定

Nginx的設定是以每個block來區分,加入ssl大致上會用到以下的設定,我把它分為2部份,最下方是你的server設定,再依照自已的需求調整吧

server {  # 1. basic parts
  listen 443 ssl default_server;
  ssl on;
  ssl_certificate /home/demo/certs/demo.pem;
  ssl_certificate_key /home/demo/certs/demo.key;
  ssl_session_timeout  5m;
  #ssl_protocols  SSLv2 SSLv3 TLSv1;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  # 2. advance parts
  #ssl_ciphers  HIGH:!aNULL:!MD5;  
  ssl_ciphers '...';
  ssl_dhparam /home/demo/certs/dhparam.pem;
  ssl_prefer_server_ciphers   on;  # server setting
  server_name www.demo.com
  ...
}

1. SSL基本設定

  • listen : 指定要監聽的port,一般是443
  • ssl : 啟用ssl
  • ssl_certificate : 指定剛剛購買後合併完並傳到server的.pem檔
  • ssl_certificate_key : 指定你上傳到server的private key
  • ssl_protocols : 原始的設定可能是 SSLv2 等(如註解部份),這是舊版的安全協定,將它更新成新版 TLS ,可提供更安全的加密連線,不過要注意如果你的網站是要讓非常舊的系統如Windows XP的IE來使用的話可能還是需要提供舊版的方式

到這裡的設定調整完就算完成了,這時你的網站已經可以提供https,另外也可以上SSL測試網站Qualys SSL Labs去測你網站的安全等級,應該可以拿到A級了

第1項的certificate有達到100分就代表你的ssl有驗證過了,如果有其它的安全問題都會列在上面,照上面的問題去修正很容易就可以加強你網站的安全性

2. 進階設定

如果想要讓你的網站更安全可以再加上cipher與dhparams,cipher有非常多種,全加上就可以了

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

再來產生dhparams並上傳到你的server加入設定即可

openssl dhparam -out dhparam.pem 4096

完成後可以看到安全等級提升到A+了

最後如果你需要將透過http連線到你網站的人直接轉到https的話可以再加入設定,記得加到一個新的server block,不要跟上面設定放在同個block

server {
 listen 80 default_server;
 listen [::]:80 default_server;
 server_name _;
 return 301 https://$host$request_uri;
}

References

Strong SSL Security on nginx - Raymii.org

This tutorial shows you how to set up strong SSL security on the nginx webserver. We do this by updating OpenSSL to the…

raymii.org

How To Create an SSL Certificate on Nginx for Ubuntu 14.04 | DigitalOcean

TLS, or transport layer security, and its predecessor SSL, which stands for secure sockets layer, are web protocols…

www.digitalocean.com

Nginx
Ssl
Https

--

--

Zneu Ray

Written by Zneu Ray

23 Followers

Ruby on Rails

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams