Настройка https на nginx?

Подскажите конкретный пример, как настроить https на nginx.
С описанием- делаю это-> получаю это. Я не нашёл, как ни странно- всё очень запутано. Что с сертификатами делать и можно ли их бесплатно сделать?
Вообщем для новичка в шифровании подскажите по частям.
Спасибо
  • Вопрос задан
  • 1667 просмотров
Пригласить эксперта
Ответы на вопрос 2
nazarpc
@nazarpc
Open Source enthusiast
Достаточно следующего:
server {
    listen              443 ssl http2;
    server_name         домен_здесь;
    ssl_certificate     /путь/к/сертификату;
    ssl_certificate_key /путь/к/ключу;

    тут ваш location {}
}


Если переадресовывать с HTTP на HTTPS то выше добавляете:
server {
    listen      80;
    server_name домен_здесь;
    return      301 https://$server_name$request_uri;
}


Также рекомендую посмотреть https://mozilla.github.io/server-side-tls/ssl-conf... - он в зависимости от версии Nginx и OpenSSL, а так же ваших предпочтений позволяет подобрать актуальные шифры чтобы поддерживать максимально возможный уровень безопасности.

Я себе в /etc/nginx/conf.d/tls.conf положил достаточно строгие настройки без старых протоколов и слабых шифров, которые максимально безопасны, но работают лишь в актуальных версиях браузеров (IE9-10, древние Firefox, Chrome и Safari могут не работать совсем):
ssl_session_timeout       1d;
ssl_session_cache         shared:SSL:50m;
ssl_session_tickets       off;

ssl_dhparam               /etc/ssl/dhparam.pem;

ssl_protocols             TLSv1.2;
ssl_ciphers               ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;

add_header                Strict-Transport-Security "max-age=31536000;";

ssl_stapling              on;
ssl_stapling_verify       on;

Это достаточно минималистичный конфиг без мишуры и без правок родных конфигурационных файлов Nginx (упрощает обновление). dhparam.pem вам придется сгенерировать, рекомендую 4096bit, как - найти очень легко.

Указанных опций более чем достаточно, просто поищите что каждая из опций значит и подкорректируйте по вкусу.
Ответ написан
Комментировать
planc
@planc
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы