大人,都 2022 年了,你的网站还不支持 HTTP2 吗?
什么?你甚至还没有开启 SSL/TLS 模式?!
SSL/HTTP2
SSL(Secure Sockets Layer, 安全套接字层),是用于建立计算机之间授权与加密连接的一种协议。事实上,SSL 协议已经在 1999 年 TLS(Transport Layer Security,传输层安全) 1.0 版本发布时已经被废弃了,但通常仍以 SSL 或者 SSL/TLS 指代这类技术。本文中,SSL 特指对于 HTTPS 的支持。
SSL/TLS 协议本身是很复杂的,我们这里不去细究其原理,感兴趣的可以去找一下相关资料学习。
HTTPS(SSL/TLS) 支持,需要为域名配置安全证书,通常这类证书对于个人而言都是比较昂贵的,好在开源社区早有实现方案。任何拥有域名的人,都可以使用 Let's Encrypt 免费获取受信的证书。本文选用的是基于 letsencrypt 的另一个开源实现 acme.sh!
HTTP2 是区别于 HTTP1.1 的网络请求协议,它通过多路复用等机制,大幅度提高 HTTP 协议的性能,关于其协议详情,可以查看 RFC 7540 文档
实操配置
通过 yum 或者 rpm 安装 nginx,假定其配置目录在 /etc/nginx
查看 nginx 配置根本目录:
使用 tree 命令查看 /etc/nginx 的文件结构
.
├── conf.d
│ └── default.conf
├── default.d
├── fastcgi.conf
├── fastcgi.conf.default
├── fastcgi_params
├── fastcgi_params.default
├── koi-utf
├── koi-win
├── mime.types
├── mime.types.default
├── nginx.conf
├── nginx.conf.default
├── nginx.conf.rpmnew
├── scgi_params
├── scgi_params.default
├── uwsgi_params
├── uwsgi_params.default
└── win-utf
创建 ssl 目录
在 nginx 配置根目录下,创建 ssl 目录
$ mkdir /etc/nginx/ssl
创建 SSL/TSL 通用配置
在上一步的 ssl 目录中,创建 SSL/TLS 通用配置 ssl.conf
内容如下:
# Optimize ssl session
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam ssl/dhparam.pem;
# intermediate configuration. tweak to your needs.
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;
ssl_prefer_server_ciphers on;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate ssl/trusted_primary.pem;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
# add_header Strict-Transport-Security max-age=15768000;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# HPKP
# add_header Public-Key-Pins 'pin-sha256="trusted_primary_base64_key"; pin-sha256="trusted_backup_base64_key"; max-age=2592000; includeSubDomains' always;
# CSP
# add_header Content-Security-Policy "upgrade-insecure-requests; default-src 'none'; script-src 'self' data: 'unsafe-inline' 'unsafe-eval' https:; object-src 'self' https:; style-src 'self' data: 'unsafe-inline' https:; img-src 'self' data: https:; media-src 'self' data: https; frame-src 'self' https:; font-src 'self' data: https:; connect-src 'self' https:" always;
# 告诉 IE8 使用最新的浏览器渲染
add_header X-UA-Compatible "IE=Edge" always;
# 控制 Referrer 信息显示,同源完整显示,跨域仅显示 host 部分
add_header Referrer-Policy "origin-when-cross-origin" always;
# 网页只在同源情况允许被 iframe 嵌套
add_header X-Frame-Options "SAMEORIGIN" always;
# 让浏览器对 Content-Type 不要瞎猜测
add_header X-Content-Type-Options "nosniff" always;
# 开启浏览器 XSS 过滤,一旦发现自动 block 掉
add_header X-XSS-Protection "1; mode=block" always;
resolver 223.5.5.5 114.114.114.114 8.8.8.8 valid=60s;
resolver_timeout 5s;
创建中间证书和受信密钥
在 ssl 目录中,创建 certs.sh 脚本。
内容如下:
#!/bin/bash
###### DH Params
# 使用openssh dhparam 生成 DH Params
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem
##### HPKP
# 下载 Let's Encrypt 中间证书
wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt -O trusted_primary.pem
wget https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem.txt -O trusted_backup.pem
# 验证证书是否有效
openssl x509 -in trusted_primary.pem -noout -subject
openssl x509 -in trusted_backup.pem -noout -subject
# 生成 trusted_primary 公钥
openssl x509 -in trusted_primary.pem -noout -pubkey | openssl asn1parse -noout -inform pem -out public.key
openssl dgst -sha256 -binary public.key | openssl enc -base64
# 生成 trusted_backup 公钥
openssl x509 -in trusted_backup.pem -noout -pubkey | openssl asn1parse -noout -inform pem -out public.key
openssl dgst -sha256 -binary public.key | openssl enc -base64
执行 /etc/nginx/ssl/certs.sh 生成中间证书和受信密钥:
dhparam.pem
public.key
trusted_backup.pem
trusted_primary.pem
注意这一步执行比较消耗性能,会略微有点慢。
最终,在 /etc/nginx/ssl 目录中,包含三个 PEM 文件和一个 key 文件,此外还有 ssl.conf 和 certs.sh,总共六个文件。
生成 SSL/TSL 证书
通过 acme.sh 为自己的域名颁发证书。
假定你已经安装了 acme.sh 证书颁发工具,在任意地方执行颁发证书命令:
acme.sh --issue -d example.com -d *.example.com --dns dns_ali
第一个为 example.com 主域名,生成的证书会以这个主域名在 .acme.sh 目录中创建子目录,存放证书文件。
注意我这里是是阿里云域名,已经预先在.bashrc 中导出了阿里云域名相关的 key 配置
## 用于acme.sh根据DNS颁发通配符证书
export Ali_Key="LTAI*****vgZC"
export Ali_Secret="tmCh*****R3j5q"
默认情况下,acme.sh 会安装在用户目录下的 .acme.sh 中,生成的域名也在此目录下
配置站点
在 /etc/nginx/conf.d 下面创建一个站点配置文件 example.com.conf
server {
listen 80;
# listen [::]:80;
listen 443 ssl http2;
# listen [::]:443 ssl http2;
server_name example.com www.example.com;
# force https-redirects
if ( $scheme = http ){
return 301 https://$server_name$request_uri;
}
# SSL 证书配置
ssl_certificate /root/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /root/.acme.sh/example.com/example.com.key;
# SSL 通用配置
include ssl/ssl.conf;
error_page 404 /404.html;
client_max_body_size 20m;
# 反向代理
location /api {
# Use IPv4 upstream address instead of DNS name to avoid attempts by nginx to use IPv6 DNS lookup
proxy_pass http://127.0.0.1:8080/api;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
# 静态资源
location / {
root /opt/www/example.com/;
index index.html index.htm;
}
}
查看目录结构
再次用 tree 命令查看 /etc/nginx 目录结构
.
├── conf.d
│ ├── default.conf
│ └── example.com.conf
├── default.d
├── fastcgi.conf
├── fastcgi.conf.default
├── fastcgi_params
├── fastcgi_params.default
├── koi-utf
├── koi-win
├── mime.types
├── mime.types.default
├── nginx.conf
├── nginx.conf.default
├── nginx.conf.rpmnew
├── scgi_params
├── scgi_params.default
├── ssl
│ ├── certs.sh
│ ├── dhparam.pem
│ ├── public.key
│ ├── ssl.conf
│ ├── trusted_backup.pem
│ └── trusted_primary.pem
├── uwsgi_params
├── uwsgi_params.default
└── win-utf
重新加载 nginx 配置或者重启服务,打开 Chrome 浏览器访问 https://example.com ,看到站点已经带上了健康锁,大功告成!
参考
Mozilla SSL Configuration Generator
欢迎关注公众号:逻魔代码
