前言
在文章-騰訊雲申請免費SSL證書中, 我們已經申請好了SSL證書. 那麼現在, 我們就要配置全站SSL了! :muscle::muscle::muscle:
這次的工作主要是NGINX的配置, 同時會有一些我的博客本身的配置.
博客本身配置更改包括: (這篇文章就先不細說了)
- 網頁內鏈接全部從http改爲https(其實配置下SITEURL, 工具會自動生成好) 並重新發布. (特別要注意, 如果有的站內css, js等沒有用https就尷尬了, 會被各類瀏覽器攔截掉, 並提示"不安全的腳本")
- 網站有用到的第三方工具(如撥測), 把網站的地址改爲 https開頭的.
NGINX配置
首先, 創建並上傳準備好的證書文件到指定目錄: (crt和key文件)
$ sudo mkdir -p /etc/pki/nginx/
# 通過sftp上傳到該目錄
進行nginx.conf 的ssl配置, 本次主要涉及到server塊的配置更改, 如下: (具體的指令作用見註釋)
server {
listen 80;
server_name www.ewhisper.cn;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.ewhisper.cn;
root /usr/share/nginx/html; # 靜態博客的存放位置
ssl_certificate "/etc/pki/nginx/1_www.ewhisper.cn_bundle.crt"; # 證書路徑
ssl_certificate_key "/etc/pki/nginx/2_www.ewhisper.cn.key"; # 證書密鑰路徑
ssl_session_cache shared:SSL:50m; # ssl session cache分配50m空間, 緩存ssl session
ssl_session_timeout 1d; # ssl session 超時時間爲1天
ssl_session_tickets off; # ssl session ticket 機制, 部分版本有bug, 視情況開啓.
ssl_protocols TLSv1.2; # ssl 協議版本
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; # ssl ciphers
ssl_prefer_server_ciphers on; # 傾向於使用server端的ciphers
# HSTS 6 months
add_header Strict-Transport-Security max-age=15768000;
# 添加個http header, 告訴瀏覽器直接轉到https, 此功能有風險, 慎重選擇.
# (比如你的證書過期忘記續了, 那麼用戶想轉到http都沒辦法)
ssl_stapling on; # 啓用ssl OCSP stapling功能, 服務端主動查詢OCSP結果, 提高TLS效率
ssl_stapling_verify on; # 開啓OCSP stapling 驗證
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf; # 我的博客的location在這裏配置
#location / {
#}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50X.html;
location = /50X.html {
}
}
:notebook: 說明:
以上的某些指令, 我先大概介紹下, 後續會有文章做詳細介紹.
-
return 301 https://$host$request_uri;HTTP的全部永久重定向到https對應的URL -
/usr/share/nginx/html靜態博客的存放位置 -
ssl_session_timeout 1d;ssl session 超時時間爲1天 -
ssl_session_tickets off; #ssl session ticket 機制, 部分版本有bug, 視情況開啓. -
ssl_prefer_server_ciphers on;傾向於使用server端的ciphers - HSTS功能: 添加個HTTP header, 告訴瀏覽器直接轉到https, :exclamation:此功能有風險, 慎重選擇. (比如你的證書過期忘記續了, 那麼用戶想轉到HTTP都沒辦法)
-
ssl_stapling on;啓用ssl OCSP stapling功能, 服務端主動查詢OCSP結果, 提高TLS握手效率 -
/etc/nginx/default.d/*.conf;我的博客location配置
:notebook: 小技巧:
火狐瀏覽器背後的基金會, 開源了一個非常好用的工具: ssl-config-generator
在這上邊, 點一點就可以自動生成推薦的SSL配置了.
![]()
提一點, 如上圖所示, 第二列一定要根據你的客戶瀏覽器或客戶端的版本使用情況慎重選擇.
比如, 用戶還在用Windows XP, IE6, Java 6, 那麼只能選擇Old.
接下來, 就是要重啓nginx來生效了.
$ sudo nginx -t # 測試配置, 沒問題再重啓
$ sudo systemctl reload nginx.service
重啓後, 測試發現 css js都沒有生效. :scream::scream::scream:
因爲之前nginx剛配置過緩存. 當時腦子沒轉過來, 沒有第一時間意識到可能是瀏覽器緩存的問題. 就直接nginx stop 再start了下. 結果悲催的我的網站可用性就從100%跌到99.81%了.
後來終於意識到可能是瀏覽器緩存的問題了, 清理了緩存後, 再啓動, 終於頁面顯示正常, 圖標也從"不安全"變成了小鎖.
測試訪問http://www.ewhisper.cn, 也會被強制轉到 https://www.ewhisper.cn. 完美!
我的SSL評級
再來介紹個好東西 - SSL Labs. 可以對你的網站進行SSL 安全評級.
點擊鏈接, 輸入網站地址, 喝杯茶, 結果就出來了 - A+ 哈哈哈哈哈!!!!
最後附上我的完整報告
三人行, 必有我師; 知識共享, 天下爲公. 本文由東風微鳴技術博客 EWhisper.cn 編寫.