117笔记问答在CentOS上配置Nginx以支持SSL/TLS加密通信,您需要准备以下证书和文件:
所需的证书和文件
- SSL证书文件(通常为
.crt或.pem格式) - 私钥文件(通常为
.key格式) - (可选)CA证书链,用于验证证书的真实性。
安装Nginx和OpenSSL
在CentOS上安装Nginx和OpenSSL是配置SSL证书的第一步。您可以使用以下命令安装:
sudo yum install epel-release sudo yum install nginx openssl openssl-devel
申请和下载SSL证书
您可以选择申请一个由证书颁发机构(CA)签发的SSL证书,如Let’s Encrypt,或者使用自签名证书进行测试。以下是使用Let’s Encrypt申请证书的步骤:
sudo yum install certbot python3-certbot-nginx sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
配置Nginx使用SSL证书
编辑Nginx的配置文件,通常位于/etc/nginx/nginx.conf或/etc/nginx/conf.d/default.conf,并添加以下内容:
server {
listen 443 ssl;
server_name yourdomain.com www.yourdomain.com;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
# 其他配置...
}
确保将yourdomain.com和www.yourdomain.com替换为您的实际域名,并根据实际路径修改证书文件的路径。
强化SSL配置的建议
- 使用安全的加密套件:如
ECDHE-RSA-AES128-GCM-SHA256。 - 启用HTTP Strict Transport Security (HSTS):通过添加
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;来防止中间人攻击。 - 定期更新证书:特别是使用Let’s Encrypt等免费证书时,证书有效期较短,需定期更新。
- 备份配置文件:在进行任何重大修改前,建议备份当前的Nginx配置文件。
- 监控日志:定期检查Nginx的错误日志和访问日志,及时发现并解决问题。
通过以上步骤,您可以在CentOS上成功配置Nginx的SSL证书,实现HTTPS协议的安全传输。