如何在NGINX网站服务器中实施SSL完美前向保密技术? (如何在nginx中实现ssl负载均衡)

本文介绍了在Debian和Ubuntu系统平台上实施完美前向保密(Perfect Forward Secrecy)以及NGINX网站 服务器 的过程。如果是其他GNU/Linux系统，整个过程稍有变动。

简而言之，完美前向保密可以确保“即便一个信息受危及，也不会拖累其他信息受危及;并确保没有一个秘密值会导致多个消息受危及。”想了解更多信息，请参阅维基百科上的相关解释：。

当openSSL中的Heartbleed安全漏洞于2014年年初公之于众时，这个事实显得越来越清楚：对于在很大程度上采用SSL/TLS的任何系统而言，完美前向保密必不可少。

万一你希望将自己的结果与我的结果进行比较，可以在处测试我的参照实施方法，SSL证书链和发送的NGINX报头可以在处查看。

闲话少说，不妨配置NGINX来实施完美前向保密。

先不妨进入到NGINX的配置目录：

cd /etc/nginx/

我们需要生成安全性足够强的Diffie-Hellman参数。一些人认为，4096比特过长了，会给系统的处理器带来不必要的负担;但是就现在的计算能力而言，这似乎值得一试。想了解更多信息，请参阅下面的“参考资料”部分。

openssl dhparam -out dh4096.pem 4096

要是有这个配置文件很方便，该文件是专门针对手头的任务，在include文件中被划分开来;这样一来，更容易跨数量众多的系统来实施完美前向保密。

vi /etc/nginx/perfect-forward-secrecy.conf

将下列内容粘贴到上述文件中：

ssl_Protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers “EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \

EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \

EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !MEDIUM”;

ssl_dhparam dh4096.pem;

修改NGINX配置，以便加入上述文件，为此只要在http {}代码段的末尾，将下面这一行插入到NGINX的主配置文件(默认情况下主配置文件是/etc/nginx/nginx.conf)：

#See：

#This MUST come AFTER the lines that includes …/sites-enabled/*, otherwise SSLv3 support may be re-enabled accidentally.

include perfect-forward-secrecy.conf;

重启NGINX，让变更内容生效：

service nginx restart

要是处的测试显示红色的Session resumption (caching) No (IDs assigned but not accepted)，并且服务器实施了服务器名字指示(SNI)，那就添加下列内容到顶层的http {}代码段(即添加到nginx.conf，就在我们之前所添加内容的下面)：

# See:

ssl_session_cache shared:SSL:10m;

同样，重启NGINX，让变更内容生效：

service nginx restart

上述测试应该不再报告这个问题了(尽管这个问题并不降低总体测试分数)。

更深入一步：实施持续时间长的HTTP严格传输安全(HSTS)协议

这部分很容易实现，完全值得一试，前提是：

1.针对该报头所设置的任何主机，你想要强行要求使用SSL访问所有资源(也就是相关网站上的每个网页)。

2.你可以忍受不能够接受和忽视针对该报头所设置的任何主机而请求的任何资源的SSL提醒，比如“Domain Name Mismatch”等。HSTS的性质恰恰在于，与SSL证书有关的警告和错误条件无法被覆盖。

我上网搜索了关于设置该报头会不会可能给不支持报头的浏览器带来不必要的影响方面的信息，结果发现信息寥。但我能够通过在浏览器(比如IE 6)中测试这个实施方法来消除我担心的问题，没有实施HSTS的浏览器完全忽视报头。太棒了!

只要将下面几行添加到/etc/nginx/perfect-forward-secrecy.conf的末尾，保存变更内容：

add_header Strict-Transport-Security “max-age=31536000; includeSubDomains”;

# This will prevent certain click-jacking attacks, but will prevent

# other sites from framing your site, so delete or modify as necessary!

add_header X-Frame-Options SAMEORIGIN;

重新加载(而不是重启)将足以迫使NGINX采用这些特别的变更：

service nginx reload

可以证实 HSTS按预期的方式运行，只要在处证实这个实施方法。如果HSTS已正确实施，你应该会在分数正下方看到一个绿色框，显示“This server supports HTTP Strict Transport Security with long duration. Grade set to A+.”意为“该服务器支持持续时间长的HTTP严格传输安全协议。分数被定为A+。”

祝贺你!

现在，你拥有了互联网上最安全的SSL/TLS实施方法之一。

参考资料

原文地址：

如何创建一个自签名的SSL证书

创建自签名证书的步骤注意：以下步骤仅用于配置内部使用或测试需要的SSL证书。 第1步：生成私钥使用openssl工具生成一个RSA私钥$ openssl genrsa -des3 -out 2048说明：生成rsa私钥，des3算法，2048位强度，是秘钥文件名。 注意：生成私钥，需要提供一个至少4位的密码。 第2步：生成CSR（证书签名请求）生成私钥之后，便可以创建csr文件了。 此时可以有两种选择。 理想情况下，可以将证书发送给证书颁发机构（CA），CA验证过请求者的身份之后，会出具签名证书（很贵）。 另外，如果只是内部或者测试需求，也可以使用OpenSSL实现自签名，具体操作如下：$ openssl req -new -key -out 说明：需要依次输入国家，地区，城市，组织，组织单位，Common Name和EMail。 其中Common Name，可以写自己的名字或者域名，如果要支持https，Common Name应该与域名保持一致，否则会引起浏览器警告。 Country Name (2 letter code) [AU]:CNState or Province Name (full name) [Some-State]:BeijingLocality Name (eg, city) []:BeijingOrganization Name (eg, company) [Internet Widgits Pty Ltd]:joyiosOrganizational Unit Name (eg, section) []:info technologyCommon Name (e.g. server FQDN or YOUR name) [] Address []第3步：删除私钥中的密码在第1步创建私钥的过程中，由于必须要指定一个密码。 而这个密码会带来一个副作用，那就是在每次Apache启动Web服务器时，都会要求输入密码，这显然非常不方便。 要删除私钥中的密码，操作如下：cp rsa -in -out 第4步：生成自签名证书如果你不想花钱让CA签名，或者只是测试SSL的具体实现。 那么，现在便可以着手生成一个自签名的证书了。 $ openssl x509 -req -days 365 -in -signkey -out 说明：crt上有证书持有人的信息，持有人的公钥，以及签署者的签名等信息。 当用户安装了证书之后，便意味着信任了这份证书，同时拥有了其中的公钥。 证书上会说明用途，例如服务器认证，客户端认证，或者签署其他证书。 当系统收到一份新的证书的时候，证书会说明，是由谁签署的。 如果这个签署者确实可以签署其他证书，并且收到证书上的签名和签署者的公钥可以对上的时候，系统就自动信任新的证书。 第5步：安装私钥和证书将私钥和证书文件复制到Apache的配置目录下即可，在Mac 10.10系统中，复制到/etc/apache2/目录中即可。 需要注意的是，在使用自签名证书时，浏览器会提示证书不受信任，如果你是对外网站使用，建议还是去CA机构申请可信的SSL证书，现在证书也很便宜，沃通CA超快SSL Pre才488元/年。

安卓5.1上网出现net::err_name_not_resolved

是自己的网站域名无法解析 chrome报错：Get net::ERR_NAME_NOT_RESOLVED nginx配置。输入以下内容：server {listen 80;server_name ;rewrite ^(.*)$ https:// $host$1 permanent;}server {listen 443;server_name ;ssl on;ssl_certificate /data/www/blog/ssl/1__;ssl_certificate_key /data/www/blog/ssl/2_;ssl_session_timeout 5m;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;ssl_prefer_server_ciphers on;location / {root /data/www/blog/;try_files $uri $uri/ /;}}

SSL证书安装复杂吗？

整体下来SSL证书安装并不是很复杂。

申请SSL证书时，按照品牌商要求提供对应的资料信息，在安信证书上选择自己合适的SSL证书申请，待CA机构审核通过后，便会颁发证书，然后下载安装就可以了。

SSL证书一般是安装部署在服务器上，不同服务器SSL证书的安装步骤是不同的，有的SSL证书服务商也提供有免费安装服务。

安装SSL证书时，您需要注意证书的形式。 如果证书是文本形式，要将其转换为CRT文件，检查下载的密钥，然后将证书上传到服务器，而SSL证书需要存储在证书和密钥的文件夹中，然后在文本编辑器中打开文件，添加相应的代码，保存修改就行了。